Trojaner-Board - 40 Tan Postbank + falsche Links bei Google (u.a.)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - 40 Tan Postbank + falsche Links bei Google (u.a.) (https://www.trojaner-board.de/94291-40-tan-postbank-falsche-links-google-u-a.html)

40 Tan Postbank + falsche Links bei Google (u.a.)

Hallo zusammen,

seit einigen habe ich falsche Links bei Google und sogar Wikipedia. Vorgestern sollte meine Frau beim Online Banking mit der Postbank 40 Tan wegen beschädigter Nutzerdaten eingeben. Sie hat das Konto sofort sperren lassen.

Nach einiger Google-Suche habe ich diese Seite gefunden und war von den Einträgen schwer begeistert. Das klingt, als könne mir hier geholfen werden.

Also erst einmal herzlichen Dank, dass es diese Seite und euch überhaupt gibt.

Ich habe die an verschiedenen Stellen beschriebenen Scans durchgeführt. D.h. ich hatte zunächst OTL ausgeführt (s. 1. Versuch im Anhang). Anschließend die Anleitung zu LOAD.EXE befolgt, wobei OTL ja wieder ein Teil davon war. Beim zweiten ITL-Lauf gab es nur eine Ergebnisdatei.

Alle erzeugten Ausgaben habe ich im Anhang in einem Zip-File angehängt. Was muss ich nun tun, damit mein System wieder sauber wird?

Viele Grüße
Stephan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Arne,

wie bekomme ich den Log in so ein schickes Fenster, wie in einigen anderen Forenbeiträgen?
Hier ist der aktuelle Log des vollständigen Scans.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5421

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.12.2010 13:26:51
mbam-log-2010-12-30 (13-26-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 250364
Laufzeit: 33 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} (Spyware.Passwords.XGen) -> Value: {C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\anwendungsdaten\Iqis\mice.exe (Spyware.Passwords.XGen) -> No action taken.

----------------------------------------------
Und hier nochmal der letzte Quickscan von vorgestern:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5408

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.12.2010 19:43:55
mbam-log-2010-12-28 (19-43-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142138
Laufzeit: 2 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\compsmui.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} (Trojan.ZbotR.Gen) -> Value: {C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> Value: userini -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\compsmui.dll (Trojan.Agent) -> Delete on reboot.
c:\dokumente und einstellungen\***\anwendungsdaten\Ruyv\vuuw.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Viele Grüße
Stephan

Zitat:

wie bekomme ich den Log in so ein schickes Fenster, wie in einigen anderen Forenbeiträgen?

Was für ein schickes Fenster? Meinst du das Design von Vista und 7? Das geht so ohne weiteres mit XP nicht. Und das Design dürfte im Moment dein kleinstes Problem sein :balla:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKLM..\Run: [userini] C:\WINDOWS\explorer.exe (Microsoft Corporation)

O36 - AppCertDlls: contsrss - (C:\WINDOWS\system32\compsmui.dll) - C:\WINDOWS\system32\compsmui.dll ()

@Alternate Data Stream - 24576 bytes -> C:\WINDOWS\OLD72A.tmp:userini.exe

@Alternate Data Stream - 24576 bytes -> C:\WINDOWS\LastGood\explorer.exe:userini.exe

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,
das Programm hat wie angekündigt einen Neustart durchgeführt. Allerdings fährt Windows jetzt seit ca. 15 Minuten runter. Das Phänomen hatte ich in den letzten Tagen mehrfach, wenn ein Programm einen Neustart gemacht hat.
Ist das in Ordnung, dass das solange dauert? Oder soll ich Reset drücken?
Viele Grüße
Stephan

Warte bitte ab! Nicht ungeduldig sein!

Hallo Arne,
inzwischen dauert es schon über zwei Stunden und der Monitor erhält kein Signal mehr. Der PC brummt und das Lämpchen leuchtet vor sich hin. Aber ich warte dann noch brav weiter. Hast du eine Idee wie lange ich erfahrungsgemäß ca. warten muss?
Stephan

Dann ist er wohl abgekachelt :balla:
Kannst die reset taste drücken

So, nach dem Reset stand nun dies im neuen Log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\userini not found.
Item C:\WINDOWS\explorer.exe is whitelisted and cannot be moved.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\contsrss:C:\WINDOWS\system32\compsmui.dll deleted successfully.
File C:\WINDOWS\system32\compsmui.dll not found.
Unable to delete ADS C:\WINDOWS\OLD72A.tmp:userini.exe .
Unable to delete ADS C:\WINDOWS\LastGood\explorer.exe:userini.exe .
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: ***
->Temp folder emptied: 638733 bytes
->Temporary Internet Files folder emptied: 27165324 bytes
->Java cache emptied: 6830 bytes
->FireFox cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 901 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 27,00 mb

OTL by OldTimer - Version 3.2.18.0 log created on 12302010_134226

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Stephan

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

hier ist das Ergebnis vom CoFi. Beim ersten Versuch es hier einzustellen hat sich Windows neu gestartet.

Combofix Logfile:

Code:

ComboFix 10-12-29.04 - *** 30.12.2010  19:19:21.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.728 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\CoFi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\***\Anwendungsdaten\Iqis

c:\dokumente und einstellungen\***\Anwendungsdaten\Iqis\mice.exe
 

Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt 
 

Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt 
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-30  ))))))))))))))))))))))))))))))

.
 

2010-12-30 18:00 . 2010-12-30 18:00        --------        d-----w-        c:\programme\CCleaner

2010-12-30 12:42 . 2010-12-30 12:42        --------        d-----w-        C:\_OTL

2010-12-28 18:36 . 2010-12-28 18:36        --------        d-----w-        c:\programme\ERUNT

2010-12-28 17:39 . 2010-12-28 17:39        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2010-12-28 17:39 . 2010-12-28 17:39        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-12-28 17:39 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-28 17:39 . 2010-12-28 18:38        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-12-28 17:39 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-12-15 22:01 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-18 18:12 . 2006-12-01 20:45        86016        ----a-w-        c:\windows\system32\isign32.dll

2010-11-06 00:21 . 2006-02-28 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-11-06 00:21 . 2006-02-28 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2010-11-06 00:21 . 2006-02-28 12:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2010-11-03 12:25 . 2006-02-28 12:00        385024        ----a-w-        c:\windows\system32\html.iec

2010-11-02 15:17 . 2006-02-28 12:00        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys

2010-10-28 13:12 . 2006-02-28 12:00        290048        ----a-w-        c:\windows\system32\atmfd.dll

2010-10-26 14:05 . 2006-02-28 12:00        1853440        ----a-w-        c:\windows\system32\win32k.sys

2010-10-07 11:23 . 2010-10-07 11:23        91424        ----a-w-        c:\windows\system32\dnssd.dll

2010-10-07 11:23 . 2010-10-07 11:23        107808        ----a-w-        c:\windows\system32\dns-sd.exe

2004-10-01 14:00 . 2007-01-07 13:16        40960        ----a-w-        c:\programme\Uninstall_CDS.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-14 68856]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]

"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-06-02 385024]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216]

"nwiz"="nwiz.exe" [2006-03-09 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-09 86016]

"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152]

"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]

"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-14 1397760]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"LGODDFU"="c:\programme\lg_fwupdate\fwupdate.exe" [2007-04-09 249856]

"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 278528]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]

"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-11-17 421160]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-10-20 176128]
 

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\

DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2009-7-3 1085440]

Netzmanager.lnk - c:\programme\Netzmanager\netzmanager.exe [2009-11-25 1529856]

Webshots.lnk - c:\programme\Webshots\Launcher.exe [2006-12-10 45056]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

CAPIControl.lnk - c:\programme\Telekom\Eumex 504PC USB\Capictrl.exe [2004-4-28 278528]

HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-4 258048]

HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-4 53248]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
 

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\

DSL-Manager.lnk - c:\programme\T-Online\DSL-Manager\DslMgr.exe [2009-7-3 1085440]
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Java\\jre1.6.0_06\\bin\\javaw.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\StarMoney 7.0 S-Edition\\ouservice\\StarMoneyOnlineUpdate.exe"=

"c:\\Programme\\StarMoney 7.0 S-Edition\\app\\StarMoney.exe"=

"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=
 

R0 TwkMs;CHIPDRIVE Mouse Adapter;c:\windows\system32\drivers\TWKMS.sys [24.04.2003 02:14 4828]

R2 CAPI20;Eumex 504PC USB;c:\windows\system32\drivers\Capi20.sys [05.04.2004 07:57 966352]

R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [19.03.2003 13:36 37696]

R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [24.11.2009 12:59 9728]

R3 CHIPDRIVE USB SmartCardReader;CHIPDRIVE USB SmartCardReader;c:\windows\system32\drivers\TwkUsb2K.sys [19.09.2005 03:07 35275]

R3 TDslMgrService;DSL-Manager;c:\programme\T-Online\DSL-Manager\DslMgrSvc.exe [03.07.2009 22:16 307200]

R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [03.07.2009 22:16 13824]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [10.05.2010 21:06 136176]

S2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe [16.11.2010 15:15 549384]

S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [03.07.2009 22:16 26816]

S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [03.12.2006 17:43 17152]

S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [03.12.2006 13:10 17664]

S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\drivers\TWKSER2K.sys [25.08.2004 15:06 185611]

S3 USB100;Teledat Fast Ethernet USB;c:\windows\system32\drivers\USB100.sys [31.07.2001 17:28 25821]

.

Inhalt des "geplante Tasks" Ordners
 

2010-12-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 11:34]
 

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-10 20:06]
 

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-10 20:06]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.welt.de/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0k4qg5bh.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.welt.de/

FF - prefs.js: network.proxy.type - 0

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-{C3FD1B8E-5AE3-B24C-3109-AC7D589C2044} - c:\dokumente und einstellungen\***\Anwendungsdaten\Iqis\mice.exe

AddRemove-Dominion - c:\programme\WinGames.Inc\Dominion\Uninst.isu
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-12-30 19:26

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(1232)

c:\windows\system32\webcheck.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Ahead\InCD\InCDsrv.exe

c:\windows\System32\SCardSvr.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\RUNDLL32.EXE

c:\windows\system32\rundll32.exe

c:\programme\HP\Digital Imaging\bin\hpqgalry.exe

c:\progra~1\Webshots\webshots.scr

c:\windows\system32\wdfmgr.exe

c:\programme\iPod\bin\iPodService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-12-30  19:30:19 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-12-30 18:30
 

Vor Suchlauf: 9.432.444.928 Bytes frei

Nach Suchlauf: 9.415.655.424 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 37563E9A575D2AFF75D19C705C54B278

--- --- ---

Stephan

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

OK, mach ich. Wie lange bist du noch da? Und ab wann dann wieder? Du willst bestimmt auch irgendwann Silvester feiern etc.
Stephan

Morgen weiß ich nicht...heute abend noch ein bisschen. Bis 2300 oder 0000? Mal sehen.
Neujahr bin ich noch platt durch :alc: aber Sonntag am 02.01.11 bin ich wieder voll einsatzfähig nach ein paar :kaffee: ;)

Der gmer-Scan wird 'ne Weile dauern. Weiß nicht ob ich alles heute noch schaffe, sonst morgen vorm. Falls du nicht da bist, wünsche ich einen guten Rutsch usw. Dann machen wir am So. weiter.
Noch ne Frage, ein Postbank-Mitarbeiter meinte, der Virus wäre mit Internet über Kabel nicht passiert. Das kann ich mir nicht vorstellen, oder stimmt das?
Und nach der letzten Bereinigungsaktion von CoFi meldet Starmoney, dass ihm ein Verzeichnis für den Online-Update fehlt.
Stephan

Zitat:

ein Postbank-Mitarbeiter meinte, der Virus wäre mit Internet über Kabel nicht passiert. Das kann ich mir nicht vorstellen, oder stimmt das?

Tja Postbank-Mitarbeiter, was erwartest du da? :D
Welches Übertragungsmedium da ist, ist dem Schädling völlig egal.

Zitat:

meldet Starmoney, dass ihm ein Verzeichnis für den Online-Update fehlt.

Musst Starmoney wohl neu installieren, hatte ich schon öfter erlebt.

So hier sind gmer.log

GMER Logfile:

Code:

GMER 1.0.15.15530 - hxxp://www.gmer.net

Rootkit scan 2010-12-30 22:04:06

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST3250820AS rev.3.AAE

Running: gm0xtn748x.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\uxloypob.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                  section is writeable [0xF6679380, 0x21F24D, 0xE8000020]

init   C:\WINDOWS\system32\drivers\Senfilt.sys                                                                   entry point in "init" section [0xF41E5A00]
 

---- Files - GMER 1.0.15 ----
 

ADS    C:\System Volume Information\_restore{25700B86-9690-4215-A35C-FCA9695E40DD}\RP4\A0000088.exe:userini.exe  24576 bytes executable

ADS    C:\System Volume Information\_restore{25700B86-9690-4215-A35C-FCA9695E40DD}\RP5\A0001087.exe:userini.exe  24576 bytes executable
 

---- EOF - GMER 1.0.15 ----

--- --- ---

osam.log:

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 22:42:42 on 30.12.2010
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl

"ToSysCnf" - "T-Online International AG, Marmiko IT-Solutions GmbH" - C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToSysCnf.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"catchme" (catchme) - ? - C:\CoFi\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"CHIPDRIVE Serial SmartCardReader" (TWKSER2K) - "SCM Microsystems Inc." - C:\WINDOWS\System32\DRIVERS\TWKSER2K.sys

"CHIPDRIVE USB SmartCardReader" (CHIPDRIVE USB SmartCardReader) - "SCM Microsystems Inc." - C:\WINDOWS\System32\DRIVERS\TwkUsb2K.sys

"DSL-Manager Service" (TSMPacket) - "T-Systems" - C:\WINDOWS\System32\DRIVERS\tsmpkt.sys

"dsltestSp5 NDIS Protocol Driver" (dsltestSp5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\WINDOWS\System32\Drivers\dsltestSp5.sys

"Eumex 504PC USB" (CAPI20) - "DeTeWe Berlin" - C:\WINDOWS\System32\Drivers\CAPI20.SYS

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDfs.sys

"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\system32\drivers\incdrm.sys

"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\DRIVERS\InCDPass.sys

"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"MIINPazX NDIS Protocol Driver" (MIINPazX) - "T-Online International AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS

"MTOnlPktAlyX NDIS Protocol Driver" (MTOnlPktAlyX) - "T-Online International AG, Marmiko IT-Solutions GmbH" - C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS

"nv" (nv) - "NVIDIA Corporation" - C:\WINDOWS\System32\DRIVERS\nv4_mini.sys

"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver" (RTLE8023xp) - "Realtek Semiconductor Corporation                           " - C:\WINDOWS\System32\DRIVERS\Rtenicxp.sys

"Teledat Fast Ethernet USB" (USB100) - "ELECOM" - C:\WINDOWS\System32\DRIVERS\USB100.sys

"Telekom CapiPort" (DETEWECP) - "DeTeWe Berlin" - C:\WINDOWS\System32\drivers\detewecp.sys

"TwkMs" (TwkMs) - "Towitoko AG" - C:\WINDOWS\system32\drivers\TwkMs.sys

"uxloypob" (uxloypob) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\uxloypob.sys  (Hidden registry entry, rootkit activity | File not found)

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll

{FFEAB400-3031-11D5-B653-0050BAD1A371} "CoffeeCup Free Zip Wizard Shell Extension" - "CoffeeCup Software" - C:\PROGRA~1\COFFEE~1\FreeZip\cczipdll.dll

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL

{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll

{950FF917-7A57-46BC-8017-59D9BF474000} "Shell Extension for CDRW" - "Nero AG" - C:\Programme\Ahead\InCD\incdshx.dll

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.6.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

{474F00F5-3853-492C-AC3A-476512BBC336} "UploadListView Class" - ? - C:\WINDOWS\Downloaded Program Files\UploaderX.dll / hxxp://picasaweb.google.de/s/v/33.02/uploader2.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Planet Steam Demo\jre\lib\deploy\jqs\ie\jqs_plugin.dll

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"CAPIControl.lnk" - "DeTeWe AG & Co." - C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe  (Shortcut exists | File exists)

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"HP Digital Imaging Monitor.lnk" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe  (Shortcut exists | File exists)

"HP Image Zone Schnellstart.lnk" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe  (Shortcut exists | File exists)

"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini

"DSL-Manager.lnk" - "T-Systems Enterprise Services GmbH" - C:\Programme\T-Online\DSL-Manager\DslMgr.exe  (Shortcut exists | File exists)

"Netzmanager.lnk" - "Deutsche Telekom AG" - C:\Programme\Netzmanager\netzmanager.exe  (Shortcut exists | File exists)

"Webshots.lnk" - ? - C:\Programme\Webshots\Launcher.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"AppleSyncNotifier" - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe

"FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe

"HP Software Update" - "Hewlett-Packard Company" - "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"

"InCD" - "Nero AG" - C:\Programme\Ahead\InCD\InCD.exe

"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"

"JMB36X Configure" - "JMicron Technology Corp." - C:\WINDOWS\system32\JMRaidTool.exe boot

"LGODDFU" - ? - C:\Programme\lg_fwupdate\fwupdate.exe blrun

"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe

"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

"nwiz" - "NVIDIA Corporation" - nwiz.exe /install

"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime

"RemoteControl" - "Cyberlink Corp." - "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"

"ToADiMon.exe" - "T-Online International AG, Marmiko IT-Solutions GmbH" - C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe

"DSL-Manager" (TDslMgrService) - "T-Systems Enterprise Services GmbH" - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"Google Updater Service" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Ahead\InCD\InCDsrv.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe

"Netzmanager Infrastruktur Informationssystem Dienst" (Netzmanager Service) - "Deutsche Telekom AG" - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe

"NVIDIA Display Driver Service" (NVSvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe

"Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINDOWS\system32\HPZipm12.exe

"StarMoney 7.0 OnlineUpdate" (StarMoney 7.0 OnlineUpdate) - "Star Finanz - Software Entwicklung und Vertriebs GmbH" - C:\Programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\Desktop )-----

"SCRNSAVE.EXE" - "Webshots.com" - C:\PROGRA~1\Webshots\webshots.scr

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

und MBRCheck.Log

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 126):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7ADC000 \WINDOWS\system32\KDCOM.DLL
0xF79EC000 \WINDOWS\system32\BOOTVID.dll
0xF74AC000 ACPI.sys
0xF7ADE000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF749B000 pci.sys
0xF75DC000 isapnp.sys
0xF7BA4000 pciide.sys
0xF785C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF75EC000 MountMgr.sys
0xF747C000 ftdisk.sys
0xF7864000 PartMgr.sys
0xF75FC000 VolSnap.sys
0xF7464000 atapi.sys
0xF760C000 jraid.sys
0xF744C000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xF761C000 disk.sys
0xF762C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF742C000 fltmgr.sys
0xF741A000 sr.sys
0xF7403000 KSecDD.sys
0xF7AE0000 TwkMs.sys
0xF7376000 Ntfs.sys
0xF7349000 NDIS.sys
0xF732F000 Mup.sys
0xF7AE2000 JGOGO.sys
0xF770C000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6679000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF6665000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF78BC000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6641000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78C4000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6619000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF6604000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xF7303000 \SystemRoot\system32\drivers\pfc.sys
0xF771C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF78CC000 \SystemRoot\System32\Drivers\incdrm.SYS
0xF78D4000 \SystemRoot\System32\DRIVERS\InCDPass.sys
0xF78DC000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xF772C000 \SystemRoot\system32\DRIVERS\serial.sys
0xF72FB000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF78E4000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF7B20000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xF65F0000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7B22000 \SystemRoot\System32\Drivers\RootMdm.sys
0xF78EC000 \SystemRoot\System32\Drivers\Modem.SYS
0xF7C67000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF773C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF72F7000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF65D9000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF774C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF775C000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78F4000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF65C8000 \SystemRoot\system32\DRIVERS\psched.sys
0xF776C000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78FC000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7904000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF777C000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF790C000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7914000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7B24000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF65A5000 \SystemRoot\system32\DRIVERS\ks.sys
0xF6547000 \SystemRoot\system32\DRIVERS\update.sys
0xF72EB000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF72E7000 \SystemRoot\system32\DRIVERS\tsmpkt.sys
0xF778C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF779C000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7B26000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF4228000 \SystemRoot\system32\drivers\ADIHdAud.sys
0xF4204000 \SystemRoot\system32\drivers\portcls.sys
0xF77AC000 \SystemRoot\system32\drivers\drmk.sys
0xF41ED000 \SystemRoot\system32\drivers\AEAudio.sys
0xF418D000 \SystemRoot\system32\drivers\Senfilt.sys
0xF79DC000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7B52000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF3E25000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B54000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7874000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF78A4000 \SystemRoot\System32\drivers\vga.sys
0xF7B56000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B58000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7AA8000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xF3DBB000 \SystemRoot\System32\Drivers\InCDfs.SYS
0xF78AC000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78B4000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7AAC000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF3DA8000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF3D4F000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF3CFF000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF3CD9000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF3CB7000 \SystemRoot\System32\drivers\afd.sys
0xF6AF2000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF6AE2000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF3C8C000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF3C1C000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF76CC000 \SystemRoot\System32\Drivers\Fips.SYS
0xF76FC000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7934000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF4056000 \SystemRoot\system32\DRIVERS\TwkUsb2K.sys
0xF4289000 \SystemRoot\system32\DRIVERS\SMCLIB.SYS
0xF4285000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF4046000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF4279000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF4275000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF3BDC000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B5E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF69F5000 \SystemRoot\System32\drivers\Dxapi.sys
0xF3F35000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BB8000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xBA4D4000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB9A53000 \SystemRoot\system32\drivers\wdmaud.sys
0xBA588000 \SystemRoot\system32\drivers\sysaudio.sys
0xB9563000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB9600000 \SystemRoot\System32\drivers\detewecp.sys
0xF7B16000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB88F0000 \SystemRoot\System32\Drivers\CAPI20.SYS
0xB87D0000 \SystemRoot\system32\DRIVERS\srv.sys
0xB73B3000 \SystemRoot\System32\Drivers\HTTP.sys
0xB6502000 \??\C:\DOKUME~1\***\LOKALE~1\Temp\uxloypob.sys
0xB63B9000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 50):
0 System Idle Process
4 System
960 C:\WINDOWS\system32\smss.exe
1040 csrss.exe
1064 C:\WINDOWS\system32\winlogon.exe
1108 C:\WINDOWS\system32\services.exe
1128 C:\WINDOWS\system32\lsass.exe
1304 C:\WINDOWS\system32\svchost.exe
1372 svchost.exe
1496 C:\WINDOWS\system32\svchost.exe
1516 C:\Programme\Ahead\InCD\InCDsrv.exe
1604 svchost.exe
1804 svchost.exe
1976 C:\WINDOWS\system32\spoolsv.exe
2036 scardsvr.exe
428 C:\WINDOWS\explorer.exe
644 C:\Programme\Analog Devices\Core\smax4pnp.exe
676 C:\WINDOWS\system32\rundll32.exe
688 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
696 C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
708 C:\Programme\Ahead\InCD\InCD.exe
728 C:\Programme\lg_fwupdate\fwupdate.exe
776 C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
812 C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
848 C:\Programme\FreePDF_XP\fpassist.exe
856 C:\Programme\QuickTime\QTTask.exe
884 C:\Programme\iTunes\iTunesHelper.exe
972 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
1000 C:\WINDOWS\system32\ctfmon.exe
628 C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
1084 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
1420 svchost.exe
1452 C:\Programme\T-Online\DSL-Manager\DslMgr.exe
1468 C:\Programme\Netzmanager\netzmanager.exe
1488 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1660 C:\PROGRA~1\Webshots\webshots.scr
1684 C:\Programme\Bonjour\mDNSResponder.exe
1544 C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
572 C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
1004 C:\WINDOWS\system32\nvsvc32.exe
2472 C:\WINDOWS\system32\svchost.exe
2492 wdfmgr.exe
2760 C:\Programme\iPod\bin\iPodService.exe
2944 C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
3068 wmiprvse.exe
3620 alg.exe
1176 C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
3336 C:\Programme\Internet Explorer\iexplore.exe
4288 C:\Programme\Internet Explorer\iexplore.exe
3060 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000009`c3dcd400 (NTFS)

PhysicalDrive0 Model Number: ST3250820AS, Rev: 3.AAE

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

Stephan

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo Arne,

hier das Log vom Malwarebyte

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5426

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.12.2010 11:11:59
mbam-log-2010-12-31 (11-11-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 248796
Laufzeit: 32 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\dokumente und einstellungen\***\anwendungsdaten\Iqis\mice.exe.vir (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{25700b86-9690-4215-a35c-fca9695e40dd}\RP7\A0003981.exe (Spyware.Passwords.XGen) -> No action taken.

und hier das Log von AntiSpyware

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/31/2010 at 12:33 PM

Application Version : 4.47.1000

Core Rules Database Version : 6105
Trace Rules Database Version: 3917

Scan type : Complete Scan
Total Scan Time : 01:15:11

Memory items scanned : 584
Memory threats detected : 0
Registry items scanned : 7410
Registry threats detected : 0
File items scanned : 115255
File threats detected : 23

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\***@ww251.smartadserver[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@smartadserver[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.chip[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@traffictrack[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adx.chip[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad4.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@mediaplex[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[1].txt

Trojan.Agent/Gen
C:\SYSTEM VOLUME INFORMATION\_RESTORE{25700B86-9690-4215-A35C-FCA9695E40DD}\RP4\A0000088.EXE:USERINI.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{25700B86-9690-4215-A35C-FCA9695E40DD}\RP5\A0001087.EXE:USERINI.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{25700B86-9690-4215-A35C-FCA9695E40DD}\RP5\A0002111.EXE

Warum wird empfohlen, AntiSpyware wieder zu deinstallieren? Und wie geht das? Einfach löschen? Uninstaller habe ich nicht gefunden.

Stephan

Zitat:

Warum wird empfohlen, AntiSpyware wieder zu deinstallieren? Und wie geht das? Einfach löschen? Uninstaller habe ich nicht gefunden.

Weil SASW nur einmal benötigt wird oder willst du es weiterbenutzen? Es kann auch draufbleiben.
Man deinstalliert Programme über Systemsteuerung / Software bei XP!!

Ansonsten sieht es ok aus, nur Cookies un Überreste.
Rechner wieder nun paletti?

Hallo Arne,

die Google-Links funktionieren wieder. Ob Postbank geht, weiß ich noch nicht. Wir haben die neuen Anmeldedaten nach der Sperrung noch nicht erhalten.

Meine Frau wurde aber von Web.de angeschrieben, dass wir den GOZI Virus auf dem System hätten. Das haben sie bei der letzten Anmeldung am 28.12. festgestellt, also vor unserer Bereinigungsaktion. Ebay hat auch das Konto gesperrt wegen Virenverdacht.
Kannst du bestätigen, dass ich diesen Virus hatte?

Ansonsten schonmal ein fettes :dankeschoen: und ein frohes neues virenfreies Jahr.

Stephan

Hallo Arne,

seit gestern sind die neuen Anmeldedaten der Postbank da und mit denen gibt es nun auch keine Proleme mehr.

ABER ich habe heute mit Mbam (mit Updates) einen Quckscan gemacht und der hat folgendes gefunden. Muss ich hier etwas tun? Die angemoserte Datei hat ein Datum von 2008.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5481

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.01.2011 13:01:08
mbam-log-2011-01-08 (13-01-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142468
Laufzeit: 2 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\ms.dll (Trojan.Agent) -> No action taken.

Viele Grüße
Stephan

Wenn dann nur ein Überrest. Mach bitte nochmal einen Vollscan mit aktuellen Signaturen.

Hallo Arne,

hier ist das Ergebnis den vollen Scans. Nach der Berenigungsaktion sollte ich einen abschließenden Scan durchführen. Damals waren noch 2 infizierte Objekte, aber in Backupdateien. Hier ist nun ein drittes neues Onjekt dabei.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5489

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.01.2011 22:51:51
mbam-log-2011-01-09 (22-51-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 250840
Laufzeit: 32 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\dokumente und einstellungen\Stefan\anwendungsdaten\Iqis\mice.exe.vir (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{25700b86-9690-4215-a35c-fca9695e40dd}\RP7\A0003981.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\ms.dll (Trojan.Agent) -> No action taken.

Stephan

Auch das sind nur Überreste :rolleyes:

Zitat:

c:\WINDOWS\system32\ms.dll (Trojan.Agent) -> No action taken.

Aber wieso entfernst du die nicht? :wtf: (no action taken!!)

Weil ich mich erstmal an eure Anweisungen halte, nichts unbedarftes ohne Aufforderung zu tun. :)
Aber danke für die Entwarnung. Ich werde die Überbleibsel nun löschen.
:dankeschoen:

Stephan