IE öffnet irgendwelche seiten

mike9677 · 15.07.2010, 13:36

Hallo zusammen,

ich habe seit kurzem das Problem, dass der IE, wie auch Firefox, nach einer bestimmten Zeit, plötzlich eine andere Seite öffnet.

Hier ist mal das Log-File:

cosinus · 15.07.2010, 15:08

Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

markusg · 15.07.2010, 15:12

download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.schalte nun alles an laufenden programmen ab, trenne die internetverbindung, wähle scanner, komplett scan, funde löschen, log posten.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide.

mike9677 · 16.07.2010, 06:49

Hallo zusammen und vielen Dank,

hier zunächst aml das erste Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4316

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.07.2010 07:45:20
mbam-log-2010-07-16 (07-45-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 236783
Laufzeit: 1 Stunde(n), 3 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{02F74226-ADAD-4233-BA14-8748A46718E6}\RP25\A0012832.exe (Spyware.Zbot) -> No action taken.

mike9677 · 16.07.2010, 07:00

Und hier die beiden anderen Log's.

Ich hab das Ganze jetzt mal nach der Anleitung von Arne gemacht !

mike9677 · 16.07.2010, 08:04

Habe gerade noch festgestellt, dass ich keine Windows-Updates mehr machen kann.
Ein manuelle Suche zeigt im IE, dass er keine Verbindung herstellen kann.

cosinus · 16.07.2010, 09:15

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
PRC - C:\WINDOWS\Temp\XF4731.EXE ()
MOD - C:\WINDOWS\system32\ipcomem.dll ()
O36 - AppCertDlls: IMMCl386 - (C:\WINDOWS\system32\ipcomem.dll) - C:\WINDOWS\system32\ipcomem.dll ()
[2010.07.16 07:52:19 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\uboqbcji.sys
[2010.07.15 16:21:48 | 000,589,824 | ---- | M] () -- C:\Dokumente und Einstellungen\Henning.DUSSDOM\Anwendungsdaten\fin.zup
[2010.07.15 09:02:56 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\System32\ipcomem.dll
[2010.07.13 11:47:07 | 000,565,280 | ---- | M] () -- C:\WINDOWS\System32\drivers\kgzdrnl.sys
[2010.07.13 11:47:04 | 000,756,224 | ---- | M] () -- C:\WINDOWS\System32\drivers\zmoxkjd.sys
[2010.07.13 10:53:38 | 000,000,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Henning.DUSSDOM\Anwendungsdaten\hwzypv.dat
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

mike9677 · 16.07.2010, 09:26

Hi Arne,

hier das Log

Code:

ATTFilter

All processes killed
========== OTL ==========
No active process named XF4731.EXE was found!
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\IMMCl386:C:\WINDOWS\system32\ipcomem.dll deleted successfully.
C:\WINDOWS\system32\ipcomem.dll moved successfully.
File C:\WINDOWS\System32\drivers\uboqbcji.sys not found.
C:\Dokumente und Einstellungen\Henning.DUSSDOM\Anwendungsdaten\fin.zup moved successfully.
File C:\WINDOWS\System32\ipcomem.dll not found.
C:\WINDOWS\system32\drivers\kgzdrnl.sys moved successfully.
C:\WINDOWS\system32\drivers\zmoxkjd.sys moved successfully.
C:\Dokumente und Einstellungen\Henning.DUSSDOM\Anwendungsdaten\hwzypv.dat moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 604744 bytes
->Temporary Internet Files folder emptied: 1010738 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 77953 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Henning
->Temp folder emptied: 587193 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Henning.DUSSDOM
->Temp folder emptied: 14929798 bytes
->Temporary Internet Files folder emptied: 17151871 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Apple Safari cache emptied: 38820307 bytes
->Flash cache emptied: 4050 bytes
 
User: HENNIN~1~DUS
 
User: LocalService
->Temp folder emptied: 96031 bytes
->Temporary Internet Files folder emptied: 15955935 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1781764 bytes
->Flash cache emptied: 773 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1601561677 bytes
RecycleBin emptied: 106219229 bytes
 
Total Files Cleaned = 1.716,00 mb
 
 
OTL by OldTimer - Version 3.2.9.0 log created on 07162010_102044

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 16.07.2010, 09:44

Ok, weiter mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

mike9677 · 16.07.2010, 10:27

hier das LOG

Code:

ATTFilter

ComboFix 10-07-15.03 - Henning 16.07.2010  11:11:34.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2038.1488 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Henning.DUSSDOM\Eigene Dateien\cofi.exe
AV: Trend Micro Client/Server Security Agent Virenschutz *On-access scanning disabled* (Outdated) {145BD98F-4403-4944-A7FA-5F3B4D89F867}
FW: Trend Micro Client-Server Security Agent Firewall *disabled* {145BD98F-4403-4944-A7FA-5F3B4D89F867}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\setup.ini
c:\windows\system32\test
c:\windows\winhelp.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-16 bis 2010-07-16  ))))))))))))))))))))))))))))))
.

2010-07-16 08:20 . 2010-07-16 08:20	--------	d-----w-	C:\_OTL
2010-07-16 08:00 . 2010-07-16 08:00	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\Foxit
2010-07-16 08:00 . 2010-07-16 08:00	--------	d-----w-	c:\programme\Foxit Software
2010-07-16 07:28 . 2010-07-16 07:28	61440	----a-w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1ab8c7a0-n\decora-sse.dll
2010-07-16 07:28 . 2010-07-16 07:28	503808	----a-w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5cb373f9-n\msvcp71.dll
2010-07-16 07:28 . 2010-07-16 07:28	499712	----a-w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5cb373f9-n\jmc.dll
2010-07-16 07:28 . 2010-07-16 07:28	348160	----a-w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5cb373f9-n\msvcr71.dll
2010-07-16 07:28 . 2010-07-16 07:28	12800	----a-w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1ab8c7a0-n\decora-d3d.dll
2010-07-16 07:28 . 2010-04-12 15:29	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-14 12:57 . 2010-07-14 12:57	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\Malwarebytes
2010-07-14 12:57 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-14 12:57 . 2010-07-14 12:57	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-14 12:57 . 2010-07-14 12:57	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-14 12:57 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-14 09:27 . 2010-07-14 09:27	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\TeamViewer
2010-07-13 10:31 . 2009-06-30 07:37	28552	----a-w-	c:\windows\system32\drivers\pavboot.sys
2010-07-13 09:46 . 2010-07-13 09:46	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-07-13 09:43 . 2010-07-13 09:43	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2010-07-13 09:09 . 2010-07-13 09:09	--------	d-----w-	c:\programme\Enigma Software Group
2010-07-09 12:58 . 2010-07-09 12:58	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\.xmldog
2010-07-09 12:56 . 2010-07-09 12:58	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\.easyxmleditor
2010-07-08 14:22 . 2010-07-08 14:22	--------	d-----w-	C:\d88386b99d9f6d79fa
2010-06-30 14:25 . 2010-06-30 14:25	--------	d-----w-	C:\f584006b693bee37946e9d1ac23a
2010-06-29 10:31 . 2010-06-29 10:41	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\vlc
2010-06-28 07:19 . 2010-06-28 08:28	--------	d-----w-	c:\programme\Microsoft SQL Server
2010-06-28 06:53 . 2010-06-28 06:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Shared Documents
2010-06-28 06:47 . 2010-06-28 06:47	--------	d-----w-	c:\programme\MySQL
2010-06-28 06:47 . 2010-06-28 06:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MySQL
2010-06-25 11:53 . 2010-06-25 11:53	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Lokale Einstellungen\Anwendungsdaten\assembly
2010-06-22 12:59 . 2010-06-22 13:01	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Lokale Einstellungen\Anwendungsdaten\MarkAble
2010-06-22 12:59 . 2010-06-22 12:59	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Lokale Einstellungen\Anwendungsdaten\Rightword_Enterprises
2010-06-22 12:58 . 2010-06-22 12:58	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Lokale Einstellungen\Anwendungsdaten\{49CAE968-747F-460e-8581-5135D9AC7963}
2010-06-22 12:56 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-06-22 12:56 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-06-22 12:56 . 2010-06-22 12:56	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-22 12:40 . 2010-06-23 13:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WindSolutions
2010-06-22 12:40 . 2010-06-22 12:41	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\WindSolutions
2010-06-18 06:47 . 2010-07-13 09:40	--------	d-----w-	c:\programme\Panda Security
2010-06-17 05:53 . 2010-06-17 05:53	--------	d-sh--w-	c:\dokumente und einstellungen\Henning\IETldCache
2010-06-16 14:35 . 2010-06-17 08:11	--------	d-----w-	c:\windows\system32\NtmsData

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-16 08:00 . 2008-04-09 11:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-07-16 07:28 . 2008-04-21 09:40	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-07-16 07:28 . 2008-04-21 09:40	--------	d-----w-	c:\programme\Java
2010-07-16 07:28 . 2007-07-24 16:46	84722	----a-w-	c:\windows\system32\perfc007.dat
2010-07-16 07:28 . 2007-07-24 16:46	459396	----a-w-	c:\windows\system32\perfh007.dat
2010-07-15 12:17 . 2008-04-09 10:04	--------	d-----w-	c:\programme\Trend Micro
2010-07-13 12:16 . 2008-06-17 10:59	--------	d-----w-	c:\programme\CCleaner
2010-07-13 09:02 . 2010-07-13 09:02	24	----a-w-	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\hwzypv.dat
2010-07-09 09:59 . 2008-04-11 07:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2010-07-09 07:18 . 2008-04-09 08:09	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-07-08 08:35 . 2009-12-17 14:15	5740	----a-w-	c:\windows\system32\d3d9caps.dat
2010-06-24 08:14 . 2008-10-31 06:54	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-06-23 14:22 . 2009-10-16 15:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2010-06-23 07:07 . 2009-10-16 15:42	2568656	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-18 11:30 . 2010-01-15 08:18	142	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Haufe\iDeskService\conf\config.bat
2010-06-09 12:01 . 2010-06-09 12:01	697328	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-05-21 12:02 . 2010-05-21 11:36	--------	d-----w-	c:\dokumente und einstellungen\Henning.DUSSDOM\Anwendungsdaten\TeraCopy
2010-05-18 10:07 . 2010-05-18 08:08	29480	----a-w-	c:\windows\system32\msxml3a.dll
2010-05-18 08:09 . 2010-05-18 08:09	--------	d-----w-	c:\programme\Gemeinsame Dateien\CyberLink
2010-05-06 10:31 . 2007-07-24 16:46	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2007-07-24 16:46	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2007-07-24 16:45	285696	----a-w-	c:\windows\system32\atmfd.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\programme\CCleaner\CCleaner.exe" [2010-06-23 1699128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-01 162584]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"SfWinStartInfo"="q:\sfirm32\sfWinStartupInfo.exe" [2010-02-05 161152]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-01 138008]
"OfficeScanNT Monitor"="c:\programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-04-27 399048]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-11-03 339240]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Henning\Startmen\Programme\Autostart\
laxeym.exe [2010-7-15 126024]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-9-15 805392]
Microsoft Outlook.lnk - c:\windows\Installer\{00000407-78E1-11D2-B60F-006097C998E7}\outicon.exe [2008-4-9 104960]
SFirm32 Automat.lnk - q:\sfirm32\SFAutomat.exe [2010-2-5 300416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43	69632	----a-w-	c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2007-06-01 13:13	142104	----a-w-	c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrnStatusMX]
2007-08-29 15:06	1077248	----a-w-	c:\programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-05-28 12:52	16862720	----a-w-	c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2007-05-10 17:22	864256	----a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TouchPadHotKey]
2007-06-26 11:58	360448	----a-w-	c:\programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [13.07.2010 12:31 28552]
R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [06.06.2008 09:51 3026]
R2 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [01.12.2009 09:23 70336]
R2 TmFilter;Trend Micro Filter;c:\programme\Trend Micro\OfficeScan Client\tmxpflt.sys [09.04.2008 12:04 230928]
R2 TmPreFilter;Trend Micro PreFilter;c:\programme\Trend Micro\OfficeScan Client\tmpreflt.sys [09.04.2008 12:04 36368]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [12.01.2010 13:46 7040]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09.06.2010 14:01 697328]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\Office\Office12\EXCEL.EXE/3000
DPF: {EF34051A-402A-4ABE-AA20-04E1B4422BD9} - hxxp://www.lottohd.dynalias.net/DxClient_NetViewer.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe ARM - c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-ClipIncSrvTray - c:\programme\Tobit ClipInc\Player\ClipIncTray.exe
MSConfigStartUp-DAEMON Tools Pro Agent - c:\programme\DAEMON Tools Pro\DTAgent.exe
MSConfigStartUp-iTunesHelper - c:\programme\iTunes\iTunesHelper.exe
MSConfigStartUp-QuickTime Task - c:\programme\QuickTime\qttask.exe
MSConfigStartUp-SSBkgdUpdate - c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-16 11:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89A23EC5]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9f7ecb8
\Driver\atapi -> atapi.sys @ 0xb9ef2852
\Driver\iaStor -> iaStor.sys @ 0xb9e5f918
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
user & kernel MBR OK 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(732)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2010-07-16  11:25:25
ComboFix-quarantined-files.txt  2010-07-16 09:25

Vor Suchlauf: 11 Verzeichnis(se), 91.715.215.360 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 91.691.270.144 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - E76E50201DB1F7B1952CD5B4C1B28488

cosinus · 16.07.2010, 11:38

Sagmal, ist das ein Bürorechner?

mike9677 · 16.07.2010, 11:38

Ja, ist das ein Problem ?

cosinus · 16.07.2010, 11:41

Für Bürorechner ist Euer Admin bzw. Eure EDV-Abteilung zuständig!

mike9677 · 16.07.2010, 11:42

das versuche ich selbst zu machen (1-Mann)

cosinus · 16.07.2010, 12:24

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

16.07.2010, 11:38	#11
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	IE öffnet irgendwelche seiten Sagmal, ist das ein Bürorechner? __________________ Logfiles bitte immer in CODE-Tags posten

16.07.2010, 11:41	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	IE öffnet irgendwelche seiten Für Bürorechner ist Euer Admin bzw. Eure EDV-Abteilung zuständig! __________________ Logfiles bitte immer in CODE-Tags posten

16.07.2010, 12:24	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	IE öffnet irgendwelche seiten Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus __________________ Logfiles bitte immer in CODE-Tags posten

IE öffnet irgendwelche seiten

Log-Analyse und Auswertung: IE öffnet irgendwelche seiten