Trojaner-Board - 40 Tan Postbank + falsche Links bei Google (u.a.)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - 40 Tan Postbank + falsche Links bei Google (u.a.) (https://www.trojaner-board.de/94291-40-tan-postbank-falsche-links-google-u-a.html)

40 Tan Postbank + falsche Links bei Google (u.a.)

Hallo zusammen,

seit einigen habe ich falsche Links bei Google und sogar Wikipedia. Vorgestern sollte meine Frau beim Online Banking mit der Postbank 40 Tan wegen beschädigter Nutzerdaten eingeben. Sie hat das Konto sofort sperren lassen.

Nach einiger Google-Suche habe ich diese Seite gefunden und war von den Einträgen schwer begeistert. Das klingt, als könne mir hier geholfen werden.

Also erst einmal herzlichen Dank, dass es diese Seite und euch überhaupt gibt.

Ich habe die an verschiedenen Stellen beschriebenen Scans durchgeführt. D.h. ich hatte zunächst OTL ausgeführt (s. 1. Versuch im Anhang). Anschließend die Anleitung zu LOAD.EXE befolgt, wobei OTL ja wieder ein Teil davon war. Beim zweiten ITL-Lauf gab es nur eine Ergebnisdatei.

Alle erzeugten Ausgaben habe ich im Anhang in einem Zip-File angehängt. Was muss ich nun tun, damit mein System wieder sauber wird?

Viele Grüße
Stephan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,

wie bekomme ich den Log in so ein schickes Fenster, wie in einigen anderen Forenbeiträgen?
Hier ist der aktuelle Log des vollständigen Scans.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5421

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.12.2010 13:26:51
mbam-log-2010-12-30 (13-26-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 250364
Laufzeit: 33 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} (Spyware.Passwords.XGen) -> Value: {C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\anwendungsdaten\Iqis\mice.exe (Spyware.Passwords.XGen) -> No action taken.

----------------------------------------------
Und hier nochmal der letzte Quickscan von vorgestern:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5408

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.12.2010 19:43:55
mbam-log-2010-12-28 (19-43-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142138
Laufzeit: 2 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\compsmui.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} (Trojan.ZbotR.Gen) -> Value: {C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\compsmui.dll (Trojan.Agent) -> Delete on reboot.
c:\dokumente und einstellungen\***\anwendungsdaten\Ruyv\vuuw.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Viele Grüße
Stephan

Zitat:

wie bekomme ich den Log in so ein schickes Fenster, wie in einigen anderen Forenbeiträgen?

Was für ein schickes Fenster? Meinst du das Design von Vista und 7? Das geht so ohne weiteres mit XP nicht. Und das Design dürfte im Moment dein kleinstes Problem sein :balla:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKLM..\Run: [userini] C:\WINDOWS\explorer.exe (Microsoft Corporation)

O36 - AppCertDlls: contsrss - (C:\WINDOWS\system32\compsmui.dll) - C:\WINDOWS\system32\compsmui.dll ()

@Alternate Data Stream - 24576 bytes -> C:\WINDOWS\OLD72A.tmp:userini.exe

@Alternate Data Stream - 24576 bytes -> C:\WINDOWS\LastGood\explorer.exe:userini.exe

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,
das Programm hat wie angekündigt einen Neustart durchgeführt. Allerdings fährt Windows jetzt seit ca. 15 Minuten runter. Das Phänomen hatte ich in den letzten Tagen mehrfach, wenn ein Programm einen Neustart gemacht hat.
Ist das in Ordnung, dass das solange dauert? Oder soll ich Reset drücken?
Viele Grüße
Stephan

Warte bitte ab! Nicht ungeduldig sein!

Hallo Arne,
inzwischen dauert es schon über zwei Stunden und der Monitor erhält kein Signal mehr. Der PC brummt und das Lämpchen leuchtet vor sich hin. Aber ich warte dann noch brav weiter. Hast du eine Idee wie lange ich erfahrungsgemäß ca. warten muss?
Stephan

Dann ist er wohl abgekachelt :balla:
Kannst die reset taste drücken

So, nach dem Reset stand nun dies im neuen Log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\userini not found.
Item C:\WINDOWS\explorer.exe is whitelisted and cannot be moved.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\contsrss:C:\WINDOWS\system32\compsmui.dll deleted successfully.
File C:\WINDOWS\system32\compsmui.dll not found.
Unable to delete ADS C:\WINDOWS\OLD72A.tmp:userini.exe .
Unable to delete ADS C:\WINDOWS\LastGood\explorer.exe:userini.exe .
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: ***
->Temp folder emptied: 638733 bytes
->Temporary Internet Files folder emptied: 27165324 bytes
->Java cache emptied: 6830 bytes
->FireFox cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 901 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 27,00 mb

OTL by OldTimer - Version 3.2.18.0 log created on 12302010_134226

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Stephan

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

hier ist das Ergebnis vom CoFi. Beim ersten Versuch es hier einzustellen hat sich Windows neu gestartet.

Combofix Logfile:

Code:

ComboFix 10-12-29.04 - *** 30.12.2010  19:19:21.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.728 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\CoFi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\***\Anwendungsdaten\Iqis

c:\dokumente und einstellungen\***\Anwendungsdaten\Iqis\mice.exe
 

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 
 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-30  ))))))))))))))))))))))))))))))

.
 

2010-12-30 18:00 . 2010-12-30 18:00        --------        d-----w-        c:\programme\CCleaner

2010-12-30 12:42 . 2010-12-30 12:42        --------        d-----w-        C:\_OTL

2010-12-28 18:36 . 2010-12-28 18:36        --------        d-----w-        c:\programme\ERUNT

2010-12-28 17:39 . 2010-12-28 17:39        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2010-12-28 17:39 . 2010-12-28 17:39        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-12-28 17:39 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-28 17:39 . 2010-12-28 18:38        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-12-28 17:39 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-12-15 22:01 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-18 18:12 . 2006-12-01 20:45        86016        ----a-w-        c:\windows\system32\isign32.dll

2010-11-06 00:21 . 2006-02-28 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-11-06 00:21 . 2006-02-28 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2010-11-06 00:21 . 2006-02-28 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2010-11-03 12:25 . 2006-02-28 12:00        385024        ----a-w-        c:\windows\system32\html.iec

2010-11-02 15:17 . 2006-02-28 12:00        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys

2010-10-28 13:12 . 2006-02-28 12:00        290048        ----a-w-        c:\windows\system32\atmfd.dll

2010-10-26 14:05 . 2006-02-28 12:00        1853440        ----a-w-        c:\windows\system32\win32k.sys

2010-10-07 11:23 . 2010-10-07 11:23        91424        ----a-w-        c:\windows\system32\dnssd.dll

2010-10-07 11:23 . 2010-10-07 11:23        107808        ----a-w-        c:\windows\system32\dns-sd.exe

2004-10-01 14:00 . 2007-01-07 13:16        40960        ----a-w-        c:\programme\Uninstall_CDS.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-14 68856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]

"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-06-02 385024]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216]

"nwiz"="nwiz.exe" [2006-03-09 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-09 86016]

"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152]

"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]

"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-14 1397760]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"LGODDFU"="c:\programme\lg_fwupdate\fwupdate.exe" [2007-04-09 249856]

"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 278528]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-10-20 176128]
 

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\

DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2009-7-3 1085440]

Netzmanager.lnk - c:\programme\Netzmanager\netzmanager.exe [2009-11-25 1529856]

Webshots.lnk - c:\programme\Webshots\Launcher.exe [2006-12-10 45056]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

CAPIControl.lnk - c:\programme\Telekom\Eumex 504PC USB\Capictrl.exe [2004-4-28 278528]

HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-4 258048]

HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-4 53248]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
 

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\

DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2009-7-3 1085440]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Java\\jre1.6.0_06\\bin\\javaw.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\StarMoney 7.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=

"c:\\Programme\\StarMoney 7.0 S-Edition\\app\\StarMoney.exe"=

"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=
 

R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 02:14 4828]

R2 CAPI20;Eumex 504PC USB;c:\windows\system32\drivers\Capi20.sys [05.04.2004 07:57 966352]

R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [19.03.2003 13:36 37696]

R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [24.11.2009 12:59 9728]

R3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\drivers\TwkUsb2K.sys [19.09.2005 03:07 35275]

R3 TDslMgrService;DSL-Manager;c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe [03.07.2009 22:16 307200]

R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [03.07.2009 22:16 13824]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [10.05.2010 21:06 136176]

S2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [16.11.2010 15:15 549384]

S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [03.07.2009 22:16 26816]

S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [03.12.2006 17:43 17152]

S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [03.12.2006 13:10 17664]

S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 15:06 185611]

S3 USB100;Teledat Fast Ethernet USB;c:\windows\system32\drivers\USB100.sys [31.07.2001 17:28 25821]

.

Inhalt des "geplante Tasks" Ordners
 

2010-12-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 11:34]
 

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-10 20:06]
 

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-10 20:06]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.welt.de/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0k4qg5bh.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.welt.de/

FF - prefs.js: network.proxy.type - 0

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-{C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} - c:\dokumente und einstellungen\***\Anwendungsdaten\Iqis\mice.exe

AddRemove-Dominion - c:\programme\WinGames.Inc\Dominion\Uninst.isu
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-12-30 19:26

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(1232)

c:\windows\system32\webcheck.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Ahead\InCD\InCDsrv.exe

c:\windows\System32\SCardSvr.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\RUNDLL32.EXE

c:\windows\system32\rundll32.exe

c:\programme\HP\Digital Imaging\bin\hpqgalry.exe

c:\progra~1\Webshots\webshots.scr

c:\windows\system32\wdfmgr.exe

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-12-30  19:30:19 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-12-30 18:30
 

Vor Suchlauf: 9.432.444.928 Bytes frei

Nach Suchlauf: 9.415.655.424 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 37563E9A575D2AFF75D19C705C54B278

--- --- ---

Stephan

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OK, mach ich. Wie lange bist du noch da? Und ab wann dann wieder? Du willst bestimmt auch irgendwann Silvester feiern etc.
Stephan

Morgen weiß ich nicht...heute abend noch ein bisschen. Bis 2300 oder 0000? Mal sehen.
Neujahr bin ich noch platt durch :alc: aber Sonntag am 02.01.11 bin ich wieder voll einsatzfähig nach ein paar :kaffee: ;)

Der gmer-Scan wird 'ne Weile dauern. Weiß nicht ob ich alles heute noch schaffe, sonst morgen vorm. Falls du nicht da bist, wünsche ich einen guten Rutsch usw. Dann machen wir am So. weiter.
Noch ne Frage, ein Postbank-Mitarbeiter meinte, der Virus wäre mit Internet über Kabel nicht passiert. Das kann ich mir nicht vorstellen, oder stimmt das?
Und nach der letzten Bereinigungsaktion von CoFi meldet Starmoney, dass ihm ein Verzeichnis für den Online-Update fehlt.
Stephan