Google Suchergebnisse werden umgeleitet, Microsoft Update wird nicht angezeigt

pflueger · 09.03.2009, 11:34

Hallo Houston...

Auf meinem PC läuft Win XP SP3 mit IE 7.

Google Suchergebnisse werden umgeleitet. In der Bildschirmdarstellung erscheint oben links eine Ziffern-Buchstabenfolge (z.B. "110" oder "f6"), darunter kommt dann die Darstellung der Suchresultate.

Die zweite Auffälligkeit: Die Microsoft Windows Update Webseiten werden nicht mehr angezeigt. Automatische Updates laufen jedoch, soweit ich das nachvollziehen kann.

CCleaner ist installiert und gelaufen laut Forum-Anweisung.
Malwarebytes Anti-Malware lässt sich nicht installieren!
registry.txt aus CCleaner:
Fehlende MUI Beziehung C:\DOKUME~1\martin\LOKALE~1\Temp\is-I7CGG.tmp\mbam-rules.tmp HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

Ich habe zunächst die Beiträge hier im Forum durchsucht, aber die üblichen Verdächtigen in den betreffenden HijackThis Logfiles, die gepostet wurden, sind in meinem Logfile nicht drin.

Ich würde mich sehr freuen über einen Hinweis, auf welche Weise ich hier rangehen sollte. Dankeschön!

========

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:11:47, on 09.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Okidata\OKI LPR Utility\Okilpr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe
O4 - Global Startup: OKI LPR-Dienstprogramm.lnk = C:\Programme\Okidata\OKI LPR Utility\Okilpr.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195748668378
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 4445 bytes

pflueger · 09.03.2009, 15:42

Vermutlich liegt ein Trojaner-Infektion vor.
Google-Suchresultate werden umgeleitet, die Update-Websites von Microsoft werden nicht mehr angezeigt, ebenso nicht mehr die Homepage von Malwarebytes.

CCleaner habe ich laut Forum-Anleitung ausgeführt.

Mein Problem ist nun:
Anti-Malware lässt sich nicht installieren.
Fehlermeldungen gibt es nicht. Lediglich der Programm-Ordner wird angelegt, er bleibt aber leer.

Wer kann mir da weiterhelfen?

Gruss, Henrik

**Sunny** · 09.03.2009, 16:08

Ich habe deine Themen mal zusammengelegt, ist übersichtlicher!

Avira-AntiRootkit Tool

Folgendes Tool auf den Desktop herunterladen -> Avira AntiRootkit Tool

Das Tool entpacken und installieren über die setup.exe

Danach das Programm starten und auf "Start Scan" klicken

Nach dem Scan auf "View Report" klicken, den Text aus dem Editor kopieren (Strg+A -> Strg+C) und im Forum einfügen (Strg+V)

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

pflueger · 09.03.2009, 17:55

Vielen Dank für Deine Antwort.

Hier der erste log aus Avira AntiRootkit:

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started Montag, 9. März 2009 - 17:45:47
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 71.45 GB
- Working disk free size : 58.96 GB (82 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden file : c:\windows\system32\tdssarxx.dll
Hidden file : c:\windows\system32\tdsscfmm.dll
Hidden file : c:\windows\system32\tdsscubv.log
Hidden file : c:\windows\system32\tdsskkai.log
Hidden file : c:\windows\system32\tdsslxcp.dll
Hidden file : c:\windows\system32\tdssmtve.dat
Hidden file : c:\windows\system32\tdssnmxh.log
Hidden file : c:\windows\system32\tdssoiqt.dll
Hidden file : c:\windows\system32\tdssvkql.dll
Hidden file : c:\windows\system32\tdssxhyf.dll
Hidden file : c:\windows\system32\drivers\tdssmqlt.sys
Hidden key : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\tdssdata
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Minimal\tdssserv.sys
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot\Network\tdssserv.sys
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys -> group
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Minimal\tdssserv.sys
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot\Network\tdssserv.sys
Hidden key : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv.sys\modules
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv.sys -> start
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv.sys -> type
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv.sys -> imagepath
Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv.sys -> group

--------------------------------------------------------------------------------------------------------
Files: 11/71533
Registry items: 15/287992
Processes: 0/27
Scan time: 00:05:12
--------------------------------------------------------------------------------------------------------
Active processes:
- aesidjiz.exe (PID 1892) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 564)
- csrss.exe (PID 604)
- winlogon.exe (PID 628)
- services.exe (PID 676)
- lsass.exe (PID 688)
- svchost.exe (PID 860)
- svchost.exe (PID 940)
- svchost.exe (PID 980)
- svchost.exe (PID 1036)
- svchost.exe (PID 1064)
- spoolsv.exe (PID 1112)
- AVKProxy.exe (PID 1220)
- AVKService.exe (PID 1240)
- AVKWCtl.exe (PID 1264)
- jqs.exe (PID 1372)
- svchost.exe (PID 1424)
- GDFwSvc.exe (PID 1672)
- wmiapsrv.exe (PID 1968)
- explorer.exe (PID 2820)
- GDFirewallTray.exe (PID 2988)
- AVKTray.exe (PID 2996)
- Okilpr.exe (PID 3076)
- iexplore.exe (PID 2132)
- fdm.exe (PID 2776)
- avirarkd.exe (PID 2428)
========================================================================================================
- Scan finished Montag, 9. März 2009 - 17:51:00
========================================================================================================

pflueger · 09.03.2009, 19:41

Hier nun der log aus Gmer.
============================

GMER 1.0.15.14878 - h**p://w*w.gmer.net
Rootkit scan 2009-03-09 19:31:04
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwClose [0xBA4B13B0] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwCreateKey [0xBA4B2090] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteKey [0xBA4B21B2] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteValueKey [0xBA4B21D4] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenKey [0xBA4B2118] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenProcess [0xBA4B12D6] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwSetValueKey [0xBA4B2184] <-- ROOTKIT !!!

Code E1CBF400 ZwEnumerateKey
Code E1CC32A0 ZwFlushInstructionCache
Code A777CEAB pIofCallDriver
Code A777D853 pIofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP E1CC32A4
PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FD2 5 Bytes JMP E1CBF404

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[2300] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00C5000A
.text C:\WINDOWS\Explorer.EXE[2300] WS2_32.dll!connect 71A14A07 5 Bytes JMP 00C4000A
.text C:\WINDOWS\Explorer.EXE[2300] WS2_32.dll!send 71A14C27 5 Bytes JMP 00C6000A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

---- Devices - GMER 1.0.15 ----

Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\IPMULTICAST GDTdiIcpt.sys (G DATA Software AG)
Device \FileSystem\Fastfat \Fat A655ED20

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\TDSSmqlt.sys (*** hidden *** ) A777B000-A778D000 (73728 bytes)

---- Threads - GMER 1.0.15 ----

Thread 4:328 A777DD66

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\TDSSmqlt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmqlt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSmtve.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSarxx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSvkql.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSScfmm.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxcp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssserf \systemroot\system32\TDSSxhyf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSkkai.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSScubv.log
Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\TDSSserv.sys@ driver
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmqlt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmqlt.sys
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqt.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSmtve.dat
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSarxx.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSvkql.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSScfmm.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxcp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssserf \systemroot\system32\TDSSxhyf.dll
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSkkai.log
Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSScubv.log
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid 61
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid v3av
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control 0x09 0x19 0x1F 0x16 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov 10010
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver pagead2.googlesyndication.com
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged 1

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\TDSSmqlt.sys 60416 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\TDSSarxx.dll 29696 bytes executable
File C:\WINDOWS\system32\TDSScfmm.dll 61440 bytes executable
File C:\WINDOWS\system32\TDSScubv.log 8687 bytes
File C:\WINDOWS\system32\TDSSkkai.log 114 bytes
File C:\WINDOWS\system32\TDSSlxcp.dll 2852 bytes
File C:\WINDOWS\system32\TDSSmtve.dat 441 bytes
File C:\WINDOWS\system32\TDSSnmxh.log 5261920 bytes
File C:\WINDOWS\system32\TDSSoiqt.dll 35840 bytes executable
File C:\WINDOWS\system32\TDSSvkql.dll 31232 bytes executable
File C:\WINDOWS\system32\TDSSxhyf.dll 30720 bytes executable

---- EOF - GMER 1.0.15 ----

==================================

Übrigens: Die Gmer-Homepage liess sich vom infizierten PC aus nicht öffnen.
Gmer lief erst an, nachdem ich es in "test.exe" umbenannt hatte (siehe FAQ auf gmer.net).

pflueger · 09.03.2009, 20:48

CCleaner habe ich nach Anleitung laufen lassen.

Combofix.exe startet nicht korrekt.
Im Taskmanager taucht die combofix.exe auf, es erscheint aber kein Programmfenster.
Da rührt sich nix.
Auch simples Umbenennen, wie es noch bei GMER erfolgreich war, hat nichts gebracht.

Was sollte ich jetzt tun?

P.S. G Data AntiVirus konnte ich leider nicht in allen Tasks abschalten, meldet sich aber auch nicht. Kann es dennoch daran liegen?

**Sunny** · 09.03.2009, 21:05

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Drivers to delete:
TDSSserv.sys 
TDSSmqlt.sys

Files to delete:
c:\windows\system32\tdssarxx.dll
c:\windows\system32\tdsscfmm.dll
c:\windows\system32\tdsscubv.log
c:\windows\system32\tdsskkai.log
c:\windows\system32\tdsslxcp.dll
c:\windows\system32\tdssmtve.dat
c:\windows\system32\tdssnmxh.log
c:\windows\system32\tdssoiqt.dll
c:\windows\system32\tdssvkql.dll
c:\windows\system32\tdssxhyf.dll
c:\windows\system32\drivers\tdssmqlt.sys
c:\windows\system32\drivers\TDSSserv.sys 

Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\tdssdata

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

CCleaner

Anleitung zum CrapCleaner abarbeiten -> Hier gehts weiter

pflueger · 09.03.2009, 21:18

Habe mittlerweile Combofix.exe zum Laufen bekommen.
Die Lösung brachte die Umbenennung in "test1.bat".

Sollte ich nun trotzdem noch Avenger ausführen?

Nachfolgend die combofix.txt:

==========================

ComboFix 09-03-06.02 - martin 2009-03-09 21:03:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2549.2064 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\martin\Desktop\test1.bat
AV: G DATA InternetSecurity 2009 *On-access scanning disabled* (Updated)
FW: G DATA Personal Firewall *enabled*
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\BMb3f749a5.txt
c:\windows\BMb3f749a5.xml
c:\windows\cookies.ini
c:\windows\system32\av.dat
c:\windows\system32\drivers\TDSSmqlt.sys
c:\windows\system32\TDSSarxx.dll
c:\windows\system32\TDSScfmm.dll
c:\windows\system32\TDSScubv.log
c:\windows\system32\TDSSkkai.log
c:\windows\system32\TDSSlxcp.dll
c:\windows\system32\TDSSmtve.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSoiqt.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSvkql.dll
c:\windows\system32\TDSSxhyf.dll
c:\windows\system32\x64

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys

((((((((((((((((((((((( Dateien erstellt von 2009-02-09 bis 2009-03-09 ))))))))))))))))))))))))))))))
.

2009-03-09 17:43 . 2009-03-09 17:43 <DIR> d-------- c:\programme\Avira GmbH
2009-03-09 12:04 . 2009-03-09 12:04 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-09 12:04 . 2009-03-09 12:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-09 11:55 . 2009-03-09 11:55 <DIR> d-------- c:\programme\CCleaner
2009-03-09 01:54 . 2009-03-09 01:54 <DIR> d-------- c:\programme\Trend Micro
2009-02-24 23:32 . 2009-02-27 16:13 <DIR> d-------- C:\Downloads
2009-02-11 10:47 . 2009-02-11 10:47 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-10 13:54 . 2009-02-10 13:54 <DIR> d-------- c:\dokumente und einstellungen\martin\Anwendungsdaten\OpenOffice.org
2009-02-10 13:50 . 2009-02-10 13:50 <DIR> d-------- c:\programme\OpenOffice.org 3
2009-02-10 13:50 . 2009-02-10 13:50 <DIR> d-------- c:\programme\JRE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 19:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-09 17:05 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\Free Download Manager
2009-03-09 16:43 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-09 15:29 --------- d-----w c:\programme\StarMoney 6.0 apoEdition
2009-03-08 16:56 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\ThumbsPlus
2009-03-03 14:29 --------- d-----w c:\programme\Security Task Manager
2009-02-24 15:05 91,992 ----a-w c:\dokumente und einstellungen\martin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-02-11 09:46 --------- d-----w c:\programme\Java
2009-02-01 18:01 --------- d-----w c:\programme\Xilisoft
2009-01-25 17:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution
2009-01-25 15:03 --------- d-----w c:\programme\PixiePack Codec Pack
2009-01-25 14:50 --------- d-----w c:\programme\RapidSolution
2009-01-25 14:49 --------- d-----w c:\programme\Tunebite
2009-01-25 14:40 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\tunebite
2009-01-22 10:11 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\AdobeUM
2009-01-15 15:07 43,168 ----a-w c:\windows\system32\drivers\tbhsd.sys
2008-12-18 11:44 315,392 ----a-w c:\windows\HideWin.exe
2008-05-07 16:36 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050720080508\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
OKI LPR-Dienstprogramm.lnk - c:\programme\Okidata\OKI LPR Utility\Okilpr.exe [2007-11-25 163840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"UPS"=3 (0x3)
"TapiSrv"=3 (0x3)
"stllssvr"=3 (0x3)
"SCardSvr"=3 (0x3)
"RoxWatch9"=2 (0x2)
"RoxMediaDB9"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"MDM"=2 (0x2)
"IDriverT"=3 (0x3)
"ERSvc"=2 (0x2)
"DSBrokerService"=3 (0x3)
"mnmsrvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2008-11-13 22272]
R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2008-11-13 68424]
R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-08-19 1089608]
R2 AVKService;G DATA Scheduler;c:\programme\G DATA\InternetSecurity\AVK\AVKService.exe [2008-08-19 386120]
R2 AVKWCtl;AntiVirus Wächter;c:\programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe [2008-08-14 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2008-11-13 51016]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe [2008-08-15 1407976]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2008-11-13 48712]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2008-11-13 32328]
R3 X-Micro WLAN 11g USB Adapter(X-Micro);X-Micro WLAN 11g USB Adapter Driver(X-Micro);c:\windows\system32\drivers\ZD1211BU.SYS [2006-04-24 439808]
S3 TPP200;USB Storage Adapter V2 (TPP);c:\windows\system32\drivers\TPP200.SYS [2007-12-11 36096]
S4 PortlUSB;PortlUSB;c:\windows\system32\drivers\MTC.sys [2009-01-06 7552]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\AutorunsDisabled\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = about:blank
uStart Page = about:blank
mLocal Page = about:blank
mStart Page = about:blank
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-09 21:08:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1685848514-3003976273-3298459104-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-09 21:11:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-09 20:10:59

Vor Suchlauf: 25 Verzeichnis(se), 63,207,059,456 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 63,187,116,032 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

158 --- E O F --- 2009-02-24 23:08:23

=======================================

**Sunny** · 09.03.2009, 21:20

Nein, Avenger nicht mehr ausführen!

Ich schreib ein neues Script...moment.

**Sunny** · 09.03.2009, 21:24

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
TDSSserv
tbhsd
HookCentre


File::
c:\windows\system32\drivers\tbhsd.sys
c:\windows\system32\drivers\TDSSserv.sys
c:\windows\system32\drivers\HookCentre.sys
c:\windows\HideWin.exe
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120080507 20080508\index.dat

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

pflueger · 09.03.2009, 21:36

So, alles bis hierhin erledigt.

=============================

ComboFix 09-03-06.02 - martin 2009-03-09 21:26:40.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2549.2015 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\martin\Desktop\combofix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\martin\Desktop\cfscript.txt
AV: G DATA InternetSecurity 2009 *On-access scanning disabled* (Updated)
FW: G DATA Personal Firewall *enabled*
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\drivers\HookCentre.sys
c:\windows\system32\drivers\tbhsd.sys
c:\windows\system32\drivers\TDSSserv.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\HookCentre.sys
c:\windows\system32\drivers\tbhsd.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_HOOKCENTRE
-------\Service_HookCentre
-------\Service_tbhsd

((((((((((((((((((((((( Dateien erstellt von 2009-02-09 bis 2009-03-09 ))))))))))))))))))))))))))))))
.

2009-03-09 17:43 . 2009-03-09 17:43 <DIR> d-------- c:\programme\Avira GmbH
2009-03-09 12:04 . 2009-03-09 12:04 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-09 12:04 . 2009-03-09 12:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-09 11:55 . 2009-03-09 11:55 <DIR> d-------- c:\programme\CCleaner
2009-03-09 01:54 . 2009-03-09 01:54 <DIR> d-------- c:\programme\Trend Micro
2009-02-24 23:32 . 2009-02-27 16:13 <DIR> d-------- C:\Downloads
2009-02-11 10:47 . 2009-02-11 10:47 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-10 13:54 . 2009-02-10 13:54 <DIR> d-------- c:\dokumente und einstellungen\martin\Anwendungsdaten\OpenOffice.org
2009-02-10 13:50 . 2009-02-10 13:50 <DIR> d-------- c:\programme\OpenOffice.org 3
2009-02-10 13:50 . 2009-02-10 13:50 <DIR> d-------- c:\programme\JRE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 19:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-09 17:05 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\Free Download Manager
2009-03-09 16:43 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-09 15:29 --------- d-----w c:\programme\StarMoney 6.0 apoEdition
2009-03-08 16:56 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\ThumbsPlus
2009-03-03 14:29 --------- d-----w c:\programme\Security Task Manager
2009-02-24 15:05 91,992 ----a-w c:\dokumente und einstellungen\martin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-02-11 09:46 --------- d-----w c:\programme\Java
2009-02-01 18:01 --------- d-----w c:\programme\Xilisoft
2009-01-25 17:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution
2009-01-25 15:03 --------- d-----w c:\programme\PixiePack Codec Pack
2009-01-25 14:50 --------- d-----w c:\programme\RapidSolution
2009-01-25 14:49 --------- d-----w c:\programme\Tunebite
2009-01-25 14:40 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\tunebite
2009-01-22 10:11 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\AdobeUM
2008-12-18 11:44 315,392 ----a-w c:\windows\HideWin.exe
2008-05-07 16:36 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050720080508\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-09_21.10.20.54 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-09 20:07:27 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_4fc.dat
+ 2009-03-09 20:29:22 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_4fc.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
OKI LPR-Dienstprogramm.lnk - c:\programme\Okidata\OKI LPR Utility\Okilpr.exe [2007-11-25 163840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"UPS"=3 (0x3)
"TapiSrv"=3 (0x3)
"stllssvr"=3 (0x3)
"SCardSvr"=3 (0x3)
"RoxWatch9"=2 (0x2)
"RoxMediaDB9"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"MDM"=2 (0x2)
"IDriverT"=3 (0x3)
"ERSvc"=2 (0x2)
"DSBrokerService"=3 (0x3)
"mnmsrvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2008-11-13 22272]
R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2008-11-13 68424]
R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-08-19 1089608]
R2 AVKService;G DATA Scheduler;c:\programme\G DATA\InternetSecurity\AVK\AVKService.exe [2008-08-19 386120]
R2 AVKWCtl;AntiVirus Wächter;c:\programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe [2008-08-14 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2008-11-13 51016]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe [2008-08-15 1407976]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2008-11-13 48712]
R3 X-Micro WLAN 11g USB Adapter(X-Micro);X-Micro WLAN 11g USB Adapter Driver(X-Micro);c:\windows\system32\drivers\ZD1211BU.SYS [2006-04-24 439808]
S3 TPP200;USB Storage Adapter V2 (TPP);c:\windows\system32\drivers\TPP200.SYS [2007-12-11 36096]
S4 PortlUSB;PortlUSB;c:\windows\system32\drivers\MTC.sys [2009-01-06 7552]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - HOOKCENTRE

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\AutorunsDisabled\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = about:blank
uStart Page = about:blank
mLocal Page = about:blank
mStart Page = about:blank
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-09 21:30:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1685848514-3003976273-3298459104-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-09 21:33:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-09 20:33:10
ComboFix2.txt 2009-03-09 20:11:03

Vor Suchlauf: 25 Verzeichnis(se), 63.179.276.288 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 63,166,230,528 Bytes frei

149 --- E O F --- 2009-02-24 23:08:23

==================================

**Sunny** · 09.03.2009, 21:39

Sorry, ich hatte das Log aktualisiert, bitte führe dieses nochmal aus:

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

DRIVER::
TDSSserv

FILE::
c:\windows\system32\drivers\TDSSserv.sys
c:\windows\HideWin.exe
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120080507 20080508\index.dat

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

pflueger · 09.03.2009, 21:54

Null problemo.

Und hier ist die neue combofix.txt:

=============================

ComboFix 09-03-06.02 - martin 2009-03-09 21:43:44.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2549.2014 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\martin\Desktop\combofix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\martin\Desktop\cfscript.txt
AV: G DATA InternetSecurity 2009 *On-access scanning disabled* (Updated)
FW: G DATA Personal Firewall *enabled*
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\HideWin.exe
c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120080507 20080508\index.dat
c:\windows\system32\drivers\TDSSserv.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\HideWin.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-09 bis 2009-03-09 ))))))))))))))))))))))))))))))
.

2009-03-09 21:46 . 2009-03-09 21:46 32,328 --a------ c:\windows\system32\drivers\HookCentre.sys
2009-03-09 17:43 . 2009-03-09 17:43 <DIR> d-------- c:\programme\Avira GmbH
2009-03-09 12:04 . 2009-03-09 12:04 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-09 12:04 . 2009-03-09 12:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-09 11:55 . 2009-03-09 11:55 <DIR> d-------- c:\programme\CCleaner
2009-03-09 01:54 . 2009-03-09 01:54 <DIR> d-------- c:\programme\Trend Micro
2009-02-24 23:32 . 2009-02-27 16:13 <DIR> d-------- C:\Downloads
2009-02-11 10:47 . 2009-02-11 10:47 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-10 13:54 . 2009-02-10 13:54 <DIR> d-------- c:\dokumente und einstellungen\martin\Anwendungsdaten\OpenOffice.org
2009-02-10 13:50 . 2009-02-10 13:50 <DIR> d-------- c:\programme\OpenOffice.org 3
2009-02-10 13:50 . 2009-02-10 13:50 <DIR> d-------- c:\programme\JRE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 19:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-03-09 17:05 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\Free Download Manager
2009-03-09 16:43 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-09 15:29 --------- d-----w c:\programme\StarMoney 6.0 apoEdition
2009-03-08 16:56 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\ThumbsPlus
2009-03-03 14:29 --------- d-----w c:\programme\Security Task Manager
2009-02-24 15:05 91,992 ----a-w c:\dokumente und einstellungen\martin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-02-11 09:46 --------- d-----w c:\programme\Java
2009-02-01 18:01 --------- d-----w c:\programme\Xilisoft
2009-01-25 17:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution
2009-01-25 15:03 --------- d-----w c:\programme\PixiePack Codec Pack
2009-01-25 14:50 --------- d-----w c:\programme\RapidSolution
2009-01-25 14:49 --------- d-----w c:\programme\Tunebite
2009-01-25 14:40 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\tunebite
2009-01-22 10:11 --------- d-----w c:\dokumente und einstellungen\martin\Anwendungsdaten\AdobeUM
2008-05-07 16:36 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050720080508\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-03-09_21.10.20.54 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-09 20:07:27 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_4fc.dat
+ 2009-03-09 20:46:18 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_4fc.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
OKI LPR-Dienstprogramm.lnk - c:\programme\Okidata\OKI LPR Utility\Okilpr.exe [2007-11-25 163840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"UPS"=3 (0x3)
"TapiSrv"=3 (0x3)
"stllssvr"=3 (0x3)
"SCardSvr"=3 (0x3)
"RoxWatch9"=2 (0x2)
"RoxMediaDB9"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"MDM"=2 (0x2)
"IDriverT"=3 (0x3)
"ERSvc"=2 (0x2)
"DSBrokerService"=3 (0x3)
"mnmsrvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [2008-11-13 22272]
R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2008-11-13 68424]
R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-08-19 1089608]
R2 AVKService;G DATA Scheduler;c:\programme\G DATA\InternetSecurity\AVK\AVKService.exe [2008-08-19 386120]
R2 AVKWCtl;AntiVirus Wächter;c:\programme\G DATA\InternetSecurity\AVK\AVKWCtl.exe [2008-08-14 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [2008-11-13 51016]
R3 GDFwSvc;G DATA Personal Firewall;c:\programme\G DATA\InternetSecurity\Firewall\GDFwSvc.exe [2008-08-15 1407976]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2008-11-13 48712]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2009-03-09 32328]
R3 X-Micro WLAN 11g USB Adapter(X-Micro);X-Micro WLAN 11g USB Adapter Driver(X-Micro);c:\windows\system32\drivers\ZD1211BU.SYS [2006-04-24 439808]
S3 TPP200;USB Storage Adapter V2 (TPP);c:\windows\system32\drivers\TPP200.SYS [2007-12-11 36096]
S4 PortlUSB;PortlUSB;c:\windows\system32\drivers\MTC.sys [2009-01-06 7552]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\AutorunsDisabled\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = about:blank
uStart Page = about:blank
mLocal Page = about:blank
mStart Page = about:blank
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-09 21:46:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1685848514-3003976273-3298459104-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-09 21:49:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-09 20:49:51
ComboFix2.txt 2009-03-09 20:33:14
ComboFix3.txt 2009-03-09 20:11:03

Vor Suchlauf: 25 Verzeichnis(se), 63.150.854.144 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 63,136,239,616 Bytes frei

143 --- E O F --- 2009-02-24 23:08:23

===================================

**Sunny** · 09.03.2009, 21:57

Führe bitte GMER nochmal aus, ich schau es mir morgen früh an.

GMER - Rootkit Detection

Lade GMER von hier
entpacke es auf den Dektop
Doppelklicke die gmer.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

pflueger · 10.03.2009, 00:41

Ich habe GMER nochmal geladen und ausgeführt.
Hier ist das Resultat.

=============================

GMER 1.0.15.14878 - http://www.gmer.net
Rootkit scan 2009-03-10 00:39:07
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwClose [0xBA3813B0]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwCreateKey [0xBA382090]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteKey [0xBA3821B2]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteValueKey [0xBA3821D4]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenKey [0xBA382118]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenProcess [0xBA3812D6]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwSetValueKey [0xBA382184]

---- Kernel code sections - GMER 1.0.15 ----

? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
? C:\combofix\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BA33A326] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BA33A2FC] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BA33A0D2] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BA33A062] GDNdisIc.sys (NDIS packet redirector/G DATA Software AG)

---- Devices - GMER 1.0.15 ----

Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\IPMULTICAST GDTdiIcpt.sys (G DATA Software AG)
Device \FileSystem\Fastfat \Fat A7147D20

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

=================================

09.03.2009, 21:20	#9
Sunny Administrator > Competence Manager	Google Suchergebnisse werden umgeleitet, Microsoft Update wird nicht angezeigt Nein, Avenger nicht mehr ausführen! Ich schreib ein neues Script...moment. __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

Google Suchergebnisse werden umgeleitet, Microsoft Update wird nicht angezeigt

Log-Analyse und Auswertung: Google Suchergebnisse werden umgeleitet, Microsoft Update wird nicht angezeigt