Trojaner-Board - "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "Compurterdepp" hat Probleme mit mscj.EXE/IEXPLORE.EXE (https://www.trojaner-board.de/88552-compurterdepp-hat-probleme-mscj-exe-iexplore-exe.html)

Hast Du einen Ordner C:\_OTL ?

Hallo Arne,

hab folgendes gefunden:
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\sysbrowseClient deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\cdpcqddtutsahivzkslgTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.
G:\AUTORUN.INF moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{85ebf1a2-df19-11dc-a064-88964e928636}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85ebf1a2-df19-11dc-a064-88964e928636}\ not found.
File F:\autorun.bat not found.
C:\WINDOWS\System32\lowsec folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 143837 bytes

User: Sebastian
->Temp folder emptied: 386959376 bytes
->Temporary Internet Files folder emptied: 9120985 bytes
->Java cache emptied: 96584442 bytes
->FireFox cache emptied: 99304518 bytes
->Flash cache emptied: 1843 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4764359 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 569,00 mb

OTL by OldTimer - Version 3.2.9.1 log created on 07262010_185002

Ist das,das was du brauchst!?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Servus,

So,CCleaner ist durchgeführt! Hab zum ComboFix noch eine Frage:Muß ich Ad-Aware dazu auch schließen? Ich hab nämlich keinen Plan wie ich den abschalte?! (hat mir mal mein Schwager instaliert!)
Auserdem kann ich irgendwie nix auf dem Desktop speichern,das Fenster mit den Speicheroptionen kommt bei mir nie!? Es speichert immer gleich unter eigene Dateien!?

Grützi

Ad-Aware kannst Du auch getrost deinstallieren, das Tool ist nicht notwendig.

Soo,ComboFix hab ich nun nach einigen Startproblemen durchgeführt!
Hier der Logfile:
Combofix Logfile:

Code:

ComboFix 10-07-28.04 - Sebastian 29.07.2010  19:34:04.1.2 - x86

ausgeführt von:: c:\dokumente und einstellungen\Sebastian\Eigene Dateien\Downloads\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\enemies-names.txt

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\local.ini

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\lsrslt.ini

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\userid.dat
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-28 bis 2010-07-29  ))))))))))))))))))))))))))))))

.
 

2010-07-22 18:53 . 2010-07-22 18:53        --------        d-s---w-        c:\dokumente und einstellungen\Sebastian\UserData

2010-07-22 13:10 . 2010-07-22 13:10        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData

2010-07-21 18:38 . 2010-07-22 19:25        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2010-07-21 18:38 . 2010-07-22 19:23        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-07-21 18:34 . 2010-07-21 18:34        16409960        ----a-w-        C:\spybotsd162.exe

2010-07-21 17:39 . 2010-07-21 17:39        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\TeamViewer

2010-07-21 17:01 . 2010-07-21 17:01        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Uniblue

2010-07-21 15:03 . 2010-07-22 19:39        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-29 17:06 . 2010-07-22 19:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2010-07-29 15:16 . 2009-06-23 20:10        1        ----a-w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-07-28 16:49 . 2010-07-28 16:49        --------        d-----w-        c:\programme\CCleaner

2010-07-23 18:30 . 2010-07-23 18:20        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-07-23 18:21 . 2010-07-23 18:21        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes

2010-07-23 18:20 . 2010-07-23 18:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-07-22 19:22 . 2010-07-22 19:22        95024        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys

2010-07-22 18:37 . 2009-08-31 19:05        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\HPAppData

2004-08-03 22:58 . 2008-02-17 10:51        73728        --sha-w-        c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe

.
 

------- Sigcheck -------
 

[-] 2004-08-10 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PtiuPbmd"="ptipbm.dll" [2003-05-20 24576]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-23 149280]

"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Sebastian^Startmenü^Programme^Autostart^Antimalware Doctor.lnk]

path=c:\dokumente und einstellungen\Sebastian\Startmenü\Programme\Autostart\Antimalware Doctor.lnk

backup=c:\windows\pss\Antimalware Doctor.lnkStartup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\DOKUME~1

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1\LOKALE~1

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\dokume~1\SEBAST~1\LOKALE~1\Temp
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\mscj.exe [BU]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2006-10-22 11:22        86016        ----a-w-        c:\windows\system32\nvmctray.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]

2000-05-11 00:00        90112        ------w-        c:\windows\Updreg.EXE
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe

"nwiz"=nwiz.exe /install

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=HDAudPropShortcut.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\HD Publishing\\Joint Task Force\\jtf.exe"=

"c:\\UT2004\\System\\UT2004.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1947:TCP"= 1947:TCP:HASP SRM 

"1947:UDP"= 1947:UDP:HASP SRM 
 

R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run [x]

R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

tapisrv        REG_MULTI_SZ           Tapisrv

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2010-05-28 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

BHO-{18344FB9-CFC4-42D3-8646-BD31341FC8CF} - (no file)

MSConfigStartUp-ope28 - c:\dokume~1\SEBAST~1\LOKALE~1\Temp\ope28.exe

MSConfigStartUp-ope32 - c:\dokume~1\SEBAST~1\LOKALE~1\Temp\ope32.exe

MSConfigStartUp-mscj - c:\dokumente und einstellungen\sebastian\anwendungsdaten\msa\mscj.exe

MSConfigStartUp-setupupdater0002 - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\F6FAB42918B0A010DC72330E27D452D5\setupupdater0002.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-07-29 19:36

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1482476501-884357618-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:e9,82,32,03,e8,c0,63,f3,63,48,db,f8,8b,a6,4c,e2,2d,64,c7,47,5f,8d,c5,

   7d,c2,af,e9,b4,dd,91,9d,a0,f7,a3,b6,71,84,09,5b,8b,0f,fa,8a,99,95,e0,5f,84,\

"??"=hex:32,6d,17,bd,ce,bc,fe,c7,b0,58,a8,8f,4a,f8,bf,a3

.

Zeit der Fertigstellung: 2010-07-29  19:38:32

ComboFix-quarantined-files.txt  2010-07-29 17:38
 

Vor Suchlauf: 10 Verzeichnis(se), 227.401.904.128 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 227.367.788.544 Bytes frei
 

- - End Of File - - 578DB679979863772FF30B59FB2E9527

--- --- ---

Ps: Hab ja jetzt das AdAware gelöscht!!!! Mein momentaner Schutz besteht nur aus der Freeware von Antivir.Hab keine Firewall oder Sonstiges.Ist das ausreichend!?!?!?!?

Gruß Daniel

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-
 

Folder::

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Servus Arne,
Wie schon geschildert,bin ich zu doof um den ComboFix auf dem Desktop zu speichern!? Irgendwie kommt bei mir nie das Fenster mit den Auswahlmöglichkeiten. Es kommt nur: Datei Speichern/Abbrechen.Wenn ich dann Speichern drück,speichert er automatisch unter "Eigene Dateien".
Ähem,hüstel,hüstel. Ich find kein Notpad bei mir. (War ursprünglich mal der PC von nem Kumpel)

Rechtsklick auf den Link => Ziel speichern unter

So,hab jetzt,denk ich,alles hinbekommen!?

Hier der neueste logfile:

Combofix Logfile:

Code:

ComboFix 10-07-31.01 - Sebastian 31.07.2010  19:03:05.2.2 - x86

ausgeführt von:: c:\dokumente und einstellungen\Sebastian\Desktop\Cofi.exe

Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sebastian\Desktop\cfscript.txt

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-06-28 bis 2010-07-31  ))))))))))))))))))))))))))))))

.
 

2010-07-22 18:53 . 2010-07-22 18:53        --------        d-s---w-        c:\dokumente und einstellungen\Sebastian\UserData

2010-07-22 13:10 . 2010-07-22 13:10        --------        d-s---w-        c:\dokumente und einstellungen\NetworkService\UserData

2010-07-21 18:38 . 2010-07-22 19:25        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2010-07-21 18:38 . 2010-07-22 19:23        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-07-21 18:34 . 2010-07-21 18:34        16409960        ----a-w-        C:\spybotsd162.exe

2010-07-21 17:39 . 2010-07-21 17:39        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\TeamViewer

2010-07-21 17:01 . 2010-07-21 17:01        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Uniblue

2010-07-21 15:03 . 2010-07-22 19:39        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Lokale Einstellungen\Anwendungsdaten\sysbrowseClient
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-29 17:06 . 2010-07-22 19:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2010-07-29 15:16 . 2009-06-23 20:10        1        ----a-w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-07-28 16:49 . 2010-07-28 16:49        --------        d-----w-        c:\programme\CCleaner

2010-07-23 18:30 . 2010-07-23 18:20        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-07-23 18:21 . 2010-07-23 18:21        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Malwarebytes

2010-07-23 18:20 . 2010-07-23 18:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-07-22 19:22 . 2010-07-22 19:22        95024        ----a-w-        c:\windows\system32\drivers\SBREDrv.sys

2010-07-22 18:37 . 2009-08-31 19:05        --------        d-----w-        c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\HPAppData

2004-08-03 22:58 . 2008-02-17 10:51        73728        --sha-w-        c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe

.
 

------- Sigcheck -------
 

[-] 2004-08-10 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys

.

(((((((((((((((((((((((((((((   SnapShot@2010-07-29_17.37.01   )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-07-31 16:52 . 2010-07-31 16:52        16384              c:\windows\Temp\Perflib_Perfdata_66c.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PtiuPbmd"="ptipbm.dll" [2003-05-20 24576]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-23 149280]

"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Sebastian^Startmenü^Programme^Autostart^Antimalware Doctor.lnk]

path=c:\dokumente und einstellungen\Sebastian\Startmenü\Programme\Autostart\Antimalware Doctor.lnk

backup=c:\windows\pss\Antimalware Doctor.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mscj.exe]

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA\mscj.exe [BU]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2006-10-22 11:22        86016        ----a-w-        c:\windows\system32\nvmctray.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]

2000-05-11 00:00        90112        ------w-        c:\windows\Updreg.EXE
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"HPHUPD08"=c:\programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe

"nwiz"=nwiz.exe /install

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=HDAudPropShortcut.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\HD Publishing\\Joint Task Force\\jtf.exe"=

"c:\\UT2004\\System\\UT2004.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1947:TCP"= 1947:TCP:HASP SRM 

"1947:UDP"= 1947:UDP:HASP SRM 
 

R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run [x]

R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2006-12-27 4352]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-12-27 265088]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

tapisrv        REG_MULTI_SZ           Tapisrv

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2010-05-28 c:\windows\Tasks\1-Klick-Wartung.job

- c:\programme\TuneUp Utilities 2008\OneClick.exe [2008-01-08 11:19]

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\2583n4r2.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-07-31 19:05

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-1482476501-884357618-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:e9,82,32,03,e8,c0,63,f3,63,48,db,f8,8b,a6,4c,e2,2d,64,c7,47,5f,8d,c5,

   7d,c2,af,e9,b4,dd,91,9d,a0,f7,a3,b6,71,84,09,5b,8b,0f,fa,8a,99,95,e0,5f,84,\

"??"=hex:32,6d,17,bd,ce,bc,fe,c7,b0,58,a8,8f,4a,f8,bf,a3

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(2528)

c:\windows\system32\msi.dll

.

Zeit der Fertigstellung: 2010-07-31  19:07:06

ComboFix-quarantined-files.txt  2010-07-31 17:07

ComboFix2.txt  2010-07-29 17:38
 

Vor Suchlauf: 11 Verzeichnis(se), 227.356.459.008 Bytes frei

Nach Suchlauf: 12 Verzeichnis(se), 227.347.648.512 Bytes frei
 

- - End Of File - - EE07420B5DE2A1B47D857368F66D2927

--- --- ---

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

registry keys to delete:

HKLM\software\microsoft\shared tools\msconfig\startupreg\mscj.exe
 

folders to delete:

c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Servus!

Anbei das LogFile von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: folder "c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA" not found!
Deletion of folder "c:\dokumente und einstellungen\Sebastian\Anwendungsdaten\MSA" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\mscj.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Servus again!!!
War ein paar Tage "verurlaubt"! Hab gester Abend noch GMER und OSAM versucht,leider ohne Erfolg. GMER ist 2x (Wie befürchtet) abgeschmiert. :headbang: Osam konnte ich nicht öffnen!?!? :confused:

Mit was entpackst Du OSAM? Du solltest dazu WinRAR oder 7-zip nehmen.