Trojaner-Board - Online-Banking wegen Trojaner "gozi" gesperrt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Online-Banking wegen Trojaner "gozi" gesperrt (https://www.trojaner-board.de/92175-online-banking-wegen-trojaner-gozi-gesperrt.html)

Online-Banking wegen Trojaner "gozi" gesperrt

Nachdem ich nun seit einiger Zeit hier verfolge, dass es hier offensichtlich sehr kompetente Hilfe gibt, hier auch mein Problem mit der Bitte um Hilfe:
Meine Bank hat mir mitgeteilt, dass am 15.10.10 meine Login-Daten ausgespäht worden sind. Lt. Bank ein "gozi"-Trojaner. Ich bin dabei, auf einem "sauberen" Rechner alle relevanten Passwörter usw. zu ändern, möchte aber den befallenen Rechner säubern, möglichst ohne Neuinstallation.
Ich habe, nachdem das hier empfohlen wird, sowohl Malwarebytes als auch OTL installiert und laufen lassen. Die entsprechenden Log-Dateien hänge ich an. Heute habe ich, nachdem Avir nichts findet, Ad-Aware laufen lassen. Das hat gefunden: "Win32.Backdoor.Papras/A".
Gibt es eine Chance, das System ohne Neuinstallation zu säubern; wer kann mir dabei helfen?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

MOD - C:\WINDOWS\system32\clicepad.dll ()

O33 - MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\Shell - "" = AutoRun

O33 - MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\Shell\AutoRun\command - "" = J:\LaunchU3.exe -- File not found

O36 - AppCertDlls: regscmgr - (C:\WINDOWS\system32\clicepad.dll) - C:\WINDOWS\system32\clicepad.dll ()

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Erst mal Danke für die Antwort.

Bevor ich das ausführe:
Sollte ich vorab meine wichtigen Daten noch einmal sichern, denn das ist bereits ein paar Tage her?
Wenn ja, werde ich erst morgen Abend weitermachen können.

Gruß
wolly0209

Ja, Datensicherung vorher ist immer eine gute Idee :D

Hallo Arne,

Daten gesichert und OTL ausgeführt. LOG-File ist angehängt:

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found.
File J:\LaunchU3.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\regscmgr:C:\WINDOWS\system32\clicepad.dll deleted successfully.
C:\WINDOWS\system32\clicepad.dll moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: xxxx
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
->Flash cache emptied: 405 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 3613120 bytes

User: NetworkService
->Temp folder emptied: 295392 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: xxxxx
->Temp folder emptied: 5141015 bytes
->Temporary Internet Files folder emptied: 15683964 bytes
->Flash cache emptied: 32810 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 12271741 bytes

Total Files Cleaned = 35,00 mb

OTL by OldTimer - Version 3.2.16.0 log created on 10252010_162306

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AHG9VD03\adsCAYCQU5T.htm moved successfully.
C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4EVLD3UQ\92175-online-banking-wegen-trojaner-gozi-gesperrt[1].html moved successfully.
C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2SH89C8D\adsCAI4NSE9.htm moved successfully.

Registry entries deleted on Reboot...

Weiter geht's!

Danke
wolly0209

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

alles so ausgeführt. Der Inhalt der ComboFix.txt sieht so aus:

Code:

ComboFix 10-10-25.01 - xxxxx 26.10.2010   7:00.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.133 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\xxxxx\Desktop\CoFi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

(((((((((((((((((((((((   Dateien erstellt von 2010-09-26 bis 2010-10-26  ))))))))))))))))))))))))))))))

.
 

2010-10-21 13:46 . 2010-10-21 13:46        --------        d-----w-        c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Malwarebytes

2010-10-21 13:46 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-21 13:45 . 2010-10-21 13:45        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-10-21 13:45 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-19 21:01 . 2003-09-17 10:37        1290240        ------w-        c:\windows\NuNinst.exe

2010-10-19 21:01 . 2003-09-16 19:57        28688        ------w-        c:\windows\system32\drivers\incdpass.sys

2010-10-19 21:01 . 2003-09-16 19:57        5328        ------w-        c:\windows\system32\drivers\incdrec.sys

2010-10-19 21:01 . 2003-09-16 19:57        88800        ------w-        c:\windows\system32\drivers\incdfs.sys

2010-10-19 21:01 . 2010-10-19 21:01        --------        d-----w-        c:\windows\InCD

2010-10-19 20:57 . 2010-10-19 20:57        --------        d-----w-        c:\programme\Ahead

2010-10-19 20:54 . 2001-06-26 06:15        38912        ----a-r-        c:\windows\system32\picn20.dll

2010-10-19 20:54 . 2001-07-06 10:44        544768        ----a-r-        c:\windows\system32\imagx5.dll

2010-10-19 20:54 . 2001-07-06 12:41        569344        ----a-r-        c:\windows\system32\imagr5.dll

2010-10-19 20:54 . 2001-07-06 16:24        283920        ----a-r-        c:\windows\system32\ImagXpr5.dll

2010-10-19 20:54 . 2010-10-19 20:54        --------        d-----w-        c:\programme\Gemeinsame Dateien\Ahead

2010-10-19 20:54 . 2001-07-09 09:50        155648        ----a-r-        c:\windows\system32\NeroCheck.exe

2010-10-13 13:26 . 2010-09-18 06:52        953856        -c----w-        c:\windows\system32\dllcache\mfc40u.dll

2010-10-13 13:26 . 2010-09-18 06:52        974848        -c----w-        c:\windows\system32\dllcache\mfc42.dll

2010-10-13 13:26 . 2010-08-23 16:11        617472        -c----w-        c:\windows\system32\dllcache\comctl32.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-18 10:22 . 2004-08-04 12:00        974848        ----a-w-        c:\windows\system32\mfc42u.dll

2010-09-18 06:52 . 2004-08-04 12:00        974848        ----a-w-        c:\windows\system32\mfc42.dll

2010-09-18 06:52 . 2004-08-04 12:00        954368        ----a-w-        c:\windows\system32\mfc40.dll

2010-09-18 06:52 . 2004-08-04 12:00        953856        ----a-w-        c:\windows\system32\mfc40u.dll

2010-09-10 05:47 . 2004-08-04 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-09-10 05:47 . 2004-08-04 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2010-09-10 05:47 . 2004-08-04 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2010-09-01 11:50 . 2004-08-04 12:00        285824        ----a-w-        c:\windows\system32\atmfd.dll

2010-09-01 07:54 . 2004-08-04 12:00        1852928        ----a-w-        c:\windows\system32\win32k.sys

2010-08-27 08:01 . 2004-08-04 12:00        119808        ----a-w-        c:\windows\system32\t2embed.dll

2010-08-27 05:57 . 2004-08-04 12:00        99840        ----a-w-        c:\windows\system32\srvsvc.dll

2010-08-27 01:43 . 2008-05-05 05:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll

2010-08-26 13:39 . 2004-08-04 12:00        357248        ----a-w-        c:\windows\system32\drivers\srv.sys

2010-08-23 16:11 . 2004-08-04 12:00        617472        ----a-w-        c:\windows\system32\comctl32.dll

2010-08-17 13:17 . 2004-08-04 12:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe

2010-08-16 08:44 . 2004-08-04 12:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-20 39408]

"1und1Agent"="d:\programme\Musik\Abspielen\Internetradio Player\ps_agent.exe" [2009-05-13 98304]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 61440]

"CloneCDElbyCDFL"="d:\programme\Musik\Bearbeiten\CloneCD\ElbyCheck.exe" [2002-11-02 45056]

"OpwareSE2"="d:\hardware\Drucker\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]

"FinePrint Dispatcher v5"="c:\windows\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2004-03-04 393216]

"Adobe Reader Speed Launcher"="d:\programme\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 39792]

"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2010-10-11 864624]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-09-20 198160]

"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-08-09 221184]

"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]

"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"InCD"="d:\hardware\Brenner\InCD\InCD\InCD.exe" [2003-09-16 1212466]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

ATI CATALYST-Infobereich.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-6 61440]

FRITZ!fax.lnk - d:\hardware\Fritz!Card\Fax\FriFax32.exe [2007-12-29 1504560]

HotSync Manager.lnk - d:\hardware\Palm\HOTSYNC.EXE [2007-12-29 282624]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Hardware\\Fritz!Box\\FRITZ!DSL\\FBOXUPD.EXE"=

"d:\\Programme\\Musik\\Abspielen\\RealPlayer\\realplay.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Hardware\\Fritz!Box\\FRITZ!DSL\\IGDCTRL.EXE"=

"d:\\Hardware\\Fritz!Box\\FRITZ!DSL\\WebwaIgd.exe"=

"c:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe"=
 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [05.04.2009 23:24 64288]

R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [30.12.2007 17:01 11904]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.05.2009 18:30 135336]

R2 IGDCTRL;AVM IGD CTRL Service;d:\hardware\Fritz!Box\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 11:14 87344]

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [29.12.2007 17:40 37568]

R3 fusbbase;AVM ISDN-Controller FRITZ!Card USB;c:\windows\system32\drivers\fusbbase.sys [29.12.2007 17:39 455296]

R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [30.12.2007 17:01 207872]

R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [30.12.2007 17:00 11776]

R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [30.12.2007 17:02 299776]

R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [30.12.2007 17:00 498176]

R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [30.12.2007 17:00 23552]

S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.07.2010 10:55 1357464]

S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [16.08.2010 22:26 15008]

S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [27.05.2008 02:52 51072]

S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [28.12.2007 19:04 17152]

S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;d:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [28.12.2007 19:04 17536]

S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\NETFRITZ.SYS [02.01.2008 19:19 334640]

.

Inhalt des "geplante Tasks" Ordners
 

2010-10-25 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-07-12 21:36]
 

2010-09-01 c:\windows\Tasks\Defragmentierung.job

- c:\windows\system32\dfrg.msc [2004-08-04 12:00]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/advanced_search?hl=de

IE: &Winamp Toolbar Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

IE: Easy-WebPrint - Drucken - d:\hardware\Drucker\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint - Schnelldruck - d:\hardware\Drucker\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint - Vorschau - d:\hardware\Drucker\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint - Zu Druckliste hinzufügen - d:\hardware\Drucker\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

TCP: {65BD4052-9899-460E-A323-97EF234779F8} = 192.168.120.252,192.168.120.253

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-10-26 07:08

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(652)

c:\windows\system32\Ati2evxx.dll
 

- - - - - - - > 'explorer.exe'(1592)

d:\hardware\Drucker\ScanSoft\OmniPageSE2.0\ophookSE2.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2010-10-26  07:12:23

ComboFix-quarantined-files.txt  2010-10-26 05:12
 

Vor Suchlauf: 826.441.728 Bytes frei

Nach Suchlauf: 785.436.672 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - E681FE9FA805569A7A05E2CCFA25095D

Wie geht es jetzt weiter?

Danke
wolly0209

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,

alle drei Prgramme ausgeführt.

Gmer.txt ist angehängt,
Osam.log hier:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 18:26:15 on 27.10.2010
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Boot Execute]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----

"BootExecute" - ? - C:\WINDOWS\system32\lsdelete.exe  (File found, but it contains no detailed information)
 

[Common]

-----( %SystemRoot%\Tasks )-----

"Ad-Aware Update (Weekly).job" - "Lavasoft                                                              " - C:\Programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"AFS2k" (AFS2K) - "Oak Technology Inc." - C:\WINDOWS\system32\drivers\AFS2K.sys

"ASPI32" (ASPI32) - ? - C:\WINDOWS\system32\drivers\ASPI32.sys  (File not found)

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"AVM FRITZ!web PPP over ISDN" (NETFRITZ) - "AVM Berlin" - C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS

"catchme" (catchme) - ? - C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"ElbyCDFL" (ElbyCDFL) - "Elaborate Bytes" - C:\WINDOWS\System32\Drivers\ElbyCDFL.sys

"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"InCD File System" (InCDfs) - "Ahead Software" - C:\WINDOWS\system32\drivers\InCDfs.sys

"InCDPass" (InCDPass) - "Ahead Software" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys

"InCDrec" (InCDrec) - "Ahead Software AG" - C:\WINDOWS\system32\drivers\InCDrec.sys

"Lavasoft helper driver" (Lavasoft Kernexplorer) - ? - C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys  (File found, but it contains no detailed information)

"Lbd" (Lbd) - "Lavasoft AB" - C:\WINDOWS\System32\DRIVERS\Lbd.sys

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"MIINPazX NDIS Protocol Driver" (MIINPazX) - "Deutsche Telekom AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS

"MTOnlPktAlyX NDIS Protocol Driver" (MTOnlPktAlyX) - "Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH" - D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{0E6C58A9-F592-4862-B35F-CA45E24003B3} "CloneCD Shell Extension" - "Elaborate Bytes" - D:\Programme\Musik\Bearbeiten\CloneCD\ElbyVCDShell.dll

{94586423-855F-4EB2-9F6A-D9DA5658DBE3} "Context menu" - ? - C:\PROGRA~1\FREEM4~1\m4a_menu.dll  (File found, but it contains no detailed information)

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\OFFICE~1\Office\OLKFSTUB.DLL

{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - d:\programme\musik\abspielen\realplayer\rpshell.dll

{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Ahead Software, Karlsbad, Germany" - D:\Hardware\Brenner\InCD\InCD\incdshx.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - D:\Tools\WinRAR\rarext.dll  (File found, but it contains no detailed information)
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

<binary data> "Winamp Toolbar" - "AOL LLC" - C:\Programme\Winamp Toolbar\winamptb.dll

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

{327C2873-E90D-4c37-AA9D-10AC9BABA46C} "Easy-WebPrint" - ? - D:\Hardware\Drucker\Canon\Easy-WebPrint\Toolband.dll

<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} "Winamp Toolbar" - "AOL LLC" - C:\Programme\Winamp Toolbar\winamptb.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

{C84D72FE-E17D-4195-BB24-76C02E2E7C4E} "Google Dictionary Compression sdch" - "Google Inc." - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll

{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} "Winamp Toolbar BHO" - "AOL LLC" - C:\Programme\Winamp Toolbar\winamptb.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"ATI CATALYST-Infobereich.lnk" - "ATI Technologies Inc." - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe  (Shortcut exists | File exists)

"FRITZ!fax.lnk" - "AVM Berlin" - D:\Hardware\Fritz!Card\Fax\FriFax32.exe  (Shortcut exists | File exists)

"HotSync Manager.lnk" - "Palm Computing, Inc." - D:\Hardware\Palm\HOTSYNC.EXE  (Shortcut exists | File exists)

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"1und1Agent" - ? - D:\Programme\Musik\Abspielen\Internetradio Player\ps_agent.exe

"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Ad-Watch" - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "D:\Programme\Adobe Reader\Reader\Reader_sl.exe"

"ATICCC" - "ATI Technologies Inc." - "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"CloneCDElbyCDFL" - "Elaborate Bytes AG" - "D:\Programme\Musik\Bearbeiten\CloneCD\ElbyCheck.exe" /L ElbyCDFL

"FinePrint Dispatcher v5" - "FinePrint Software, LLC" - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

"InCD" - "Ahead Software AG" - D:\Hardware\Brenner\InCD\InCD\InCD.exe

"ISUSPM Startup" - "InstallShield Software Corporation" - C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

"ISUSScheduler" - "InstallShield Software Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

"NeroCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe

"OpwareSE2" - "ScanSoft, Inc." - "D:\Hardware\Drucker\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

"TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"avm:" - "AVM Berlin GmbH" - C:\WINDOWS\system32\avmprmon.dll

"FPR5:" - "FinePrint Software, LLC" - C:\WINDOWS\system32\fpmon5.dll

"FRITZ!fax Color Monitor" - "AVM Berlin" - C:\WINDOWS\system32\FritzVistaColorMon.dll

"FRITZ!fax Port Monitor" - "AVM Berlin" - C:\WINDOWS\system32\FritzVistaMon.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe

"ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

"AVM IGD CTRL Service" (IGDCTRL) - "AVM Berlin" - D:\Hardware\Fritz!Box\FRITZ!DSL\IGDCTRL.EXE

"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

"InCD File System Service" (InCDsrv) - "AHEAD Software" - D:\Hardware\Brenner\InCD\InCD\InCDsrv.exe

"Lavasoft Ad-Aware Service" (Lavasoft Ad-Aware Service) - "Lavasoft" - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

"WMDM PMSP Service" (WMDM PMSP Service) - "Microsoft Corporation" - C:\WINDOWS\system32\MsPMSPSv.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck.txt ist ebenfalls angehängt.

Gruß
wolly0209

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck und gmer nochmals aus und poste die Logs.

Hallo Arne,

beides so durchgeführt.

Gmer.txt und MBRCheck.txt sind angehängt.
Kann es sein, dass die Meldung in MBRCheck sich auf die zweite im Rechner befindliche Festplatte bezieht?

Gruß
wolly0209

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei

Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
Enter your choice: 2
Enter the physical disk number to fix (0-99, -1 to cancel): 0
Please select the MBR code to write to this drive: 1 (für XP)
Gib nun Yes ein und bestätige mit ENTER.
Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

Hallo Arne,

ausgeführt wie von Dir beschrieben. Die zwei MBRCheck.txt sind angehängt.

Gruß
wolly0209

Wofür nutzt die 2. Festplatte eigentlich? Die 2. Platte ist bei Dir Laufwerk F:

Hallo Arne,

ich nutze die 2. Festplatte zur Speicherung von Musikalben.

Dazu gleich noch eine Frage:
Ich habe auch noch eine externe Festplatte (I:) dranhängen. Müsste die (oder ist sie) mit geprüft werden? Außerdem habe ich im fraglichen Zeitraum des Trojanerbefalls auch einen USB-Stick benutzt. Muss der auch eprüft werden und wenn ja, wie geht das?

Danke für Deine weiteren Bemühungen.

Gruß
wolly0209