Nichts geht mehr - Hauptproblem: gesperrte Internetadressen

Chris4You · 15.08.2008, 10:35

Hi,

daran ist mit Sicherheit Antivirus XP 2008 nicht schuld,
da muss was schlimmeres nachgezogen worden sein...

Hast Du schon probiert den Rechner über die Systemwiederherstellung auf
einen funktionsfähigen Stand zurückzusetzen?

Hast Du einen zweiten PC mit dem eine Rettungs-CD erstellt werden kann,
bzw. hast Du eine bootfähige CD (XP/Recovery-CD)?

Da ich im HJ-Log nichts sehe (ausser das genannte), denke ich es ist ein Rootkit unterwegs...

Versuche mal das hier:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

chris

Danté · 15.08.2008, 10:55

Zitat:

Zitat von Chris4You

Hast Du schon probiert den Rechner über die Systemwiederherstellung auf
einen funktionsfähigen Stand zurückzusetzen?

Das hab ich irgendwann mal versucht und hatte da irgendwie Probleme, seitdem hab ichs deaktiviert

Zitat:

Zitat von Chris4You

Hast Du einen zweiten PC mit dem eine Rettungs-CD erstellt werden kann,
bzw. hast Du eine bootfähige CD (XP/Recovery-CD)?

Hab meinen alten Rechner grade zum laufen gebracht
Werde da nebenbei auch mal gucken ob ich aktuelle Datenbanken für Kaspersky irgendwie auf den hier transferieren kann.

Zitat:

Zitat von Chris4You

Versuche mal das hier:
Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

Da krieg ich beim starten ne Fehlermeldung wegen laden vom Treiber.
Habe mal gegooglet deswegen aber entweder war nix helfendes, oder ich bin gar nicht erst auf die Seite drauf gekommen. Habe auch mal die msvcr71.dll mit der aus dem System32 Verzeichnis getauscht (in beide Richtungen und natürlich mit Backups) aber hat auch nicht geholfen.

Vielen Dank auf jeden Fall schonmal an dich.
Wär ja gelacht wenn man das nicht hinkriegt

edit: lasse grade malware laufen

Chris4You · 15.08.2008, 12:10

Hi,

wenn mal MAM durchkommt wäre das super, unbedingt das Log posten...

chris

Danté · 15.08.2008, 12:35

Heilige Sch...

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1054
Windows 5.1.2600 Service Pack 2

13:28:36 2008-08-15
mbam-log-8-15-2008 (13-28-31).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 258073
Laufzeit: 59 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 29
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 56

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\rqRJApon.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wxljglai.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqRLBUoP.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1211112d-3320-4800-9466-c1684e3ff2b8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1211112d-3320-4800-9466-c1684e3ff2b8} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{338590c5-f76a-4106-a510-530688f494e8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{338590c5-f76a-4106-a510-530688f494e8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrlbuop (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv (Rootkit.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\vwsrfton.bmaf (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\vwsrfton.toolbar.1 (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9c97d927 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapon -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapon -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenUSave) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\hfnylt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqRJApon.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nopAJRqr.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nopAJRqr.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\butuecjw.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wjceutub.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wxljglai.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ialgjlxw.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqRLBUoP.dll (Trojan.Vundo) -> No action taken.
C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\fva1.tmp (Backdoor.ProRat) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KXI3GXUR\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1UZ8TA3\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temp\dssc32.exe (Rogue.Installer) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4Z1N2IZ5\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LQB01E7\Launcher[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XAVKL6B\cntr[1].gif (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XAVKL6B\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5UR4DEV\file[1].exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3NJT506\Antivirus2008PRO[1].exe (Rogue.Installer) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3NJT506\CANUL3SR (Trojan.Vundo) -> No action taken.
C:\Games\Warcraft III\Install.exe (Adware.Agent) -> No action taken.
C:\Games\Warcraft III\Files\Frozen Throne.exe (Adware.Agent) -> No action taken.
C:\Games\Warcraft III\Files\Warcraft III.exe (Adware.Agent) -> No action taken.
C:\Games\Warcraft III\Files\World Editor.exe (Adware.Agent) -> No action taken.
C:\Programme\Save\Save.exe (Adware.WhenUSave) -> No action taken.
C:\WINDOWS\ateqoflr.exe (Trojan.Vapsup) -> No action taken.
C:\WINDOWS\edpw.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\wbqxfpgl.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\awtsQJYq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bdvynjmj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\huwsww.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mtkispuj.dll (Trojan.Vundo) -> No action taken.
C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\save.db (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\save.htm (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\SaveUninst.exe (Adware.WhenUSave) -> No action taken.
C:\Programme\Save\store.db (Adware.WhenUSave) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\tpabfelq.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Anwendungsdaten\TmpRecentIcons\Antivirus-2008.lnk (Rogue.Link) -> No action taken.
C:\WINDOWS\Temp\CmdLineExt02.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Lokale Einstellungen\Temp\CmdLineExt.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Desktop\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Desktop\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Favoriten\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Favoriten\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\WaldschratMX\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.

Habe nun alles entfernt. Starte jetzt neu und scanne dann nochmal.

(Gott bin ich froh dass ich meine externen Festplatten direkt entfernt hab, sonst hätt ich 5 Stunden dafür gebraucht

)

Chris4You · 15.08.2008, 13:09

Hi,

da wird es doch gleich durchsichtiger, da war/ist ein Rootkit der Familie "malware group NtRootK.DR" unterwegs...

Du solltest auf jeden Fall einen Rootkitscanner (Combofix, dort läuft Gmer) oder Antivr-Rootkitscanner zum Laufen bekommen....

Ausserdem bleibt einge gewisse Unsicherheit, was alles auf dem Rechner angestellt wurde (Ports geöffnet etc.)...

Auch der MBR sollte geprüft werden:
MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

Danté · 15.08.2008, 14:13

Ich sollte also mal Routereinstellungen prüfen, und sicherheitshalber alle möglichen Passwörter ändern, oder?

Das MBR hat folgendes ausgegeben:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

da scheint alles in ordnung zu sein.

ComboFix ist grade am arbeiten und scheint nicht mehr abzustürzen, das von Avira wollte aber immernoch nicht starten.
Naja, hauptsache eins von beiden läuft! (PC wurde grade neu gestartet, ich editier das Ergebnis nach sobald eins da ist.)

Ich poste auch Sicherheitshalber nochmal das 2te Malwarebytes Log:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1054
Windows 5.1.2600 Service Pack 2

14:47:40 2008-08-15
mbam-log-8-15-2008 (14-47-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 257875
Laufzeit: 58 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\rqRJApon.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\rqRLBUoP.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0fea7278-3555-46d0-b3cc-48d03c9e1411} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{0fea7278-3555-46d0-b3cc-48d03c9e1411} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrlbuop (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdssserv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vwsrfton.bmaf (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vwsrfton.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapon -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapon -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\rqRJApon.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\nopAJRqr.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nopAJRqr.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRLBUoP.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Das ComboFix Log:

Code:

ATTFilter

2008-08-15 15:08      352    --a------    C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf


Auflistung der Ordnerpfade
Volumenummer: 9C97-D988
C:\QOOBOX
\---Quarantine
    \---Registry_backups
            services_nm.reg.cf

"Administrator" - 2008-08-15 15:06:01 Service Pack 2 [SAFE MODE]
ComboFix 07-05.27.BV - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop\"

((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\nm

((((((((((((((((((((((((((((((( Files Created from 2008-07-15 to 2008-08-15 ))))))))))))))))))))))))))))))))))

2008-08-15 15:00 <DIR> d-------- C:\mbr
2008-08-15 14:50 404,779 --ahs---- C:\WINDOWS\system32\nopAJRqr.ini2
2008-08-15 12:22 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-15 12:22 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-15 12:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-15 12:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
2008-08-15 12:22 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes
2008-08-15 12:03 99,200 --------- C:\WINDOWS\system32\wxljglai.dll
2008-08-15 11:34 <DIR> d-------- C:\Programme\Avira GmbH
2008-08-15 11:23 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Ashampoo
2008-08-15 08:24 1,740 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-15 07:09 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Miranda
2008-08-15 06:45 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2008-08-15 06:01 323,328 --------- C:\WINDOWS\system32\rqRJApon.dll
2008-08-15 05:56 34,688 --------- C:\WINDOWS\system32\rqRLBUoP.dll
2008-08-15 05:56 <DIR> d-------- C:\DOKUME~1\WALDSC~1\ANWEND~1\TmpRecentIcons
2008-08-09 20:19 <DIR> d-------- C:\DOKUME~1\WALDSC~1\freecol
2008-08-08 15:05 98,304 -ra------ C:\WINDOWS\system32\cmudau.dll
2008-08-08 15:05 917,504 -ra------ C:\WINDOWS\system\cmds3du.dll
2008-08-08 15:05 712,704 -ra------ C:\WINDOWS\system32\a3dpropu.dll
2008-08-08 15:05 712,704 -ra------ C:\WINDOWS\system32\a3d.dll
2008-08-08 15:05 61,440 -ra------ C:\WINDOWS\system\cmsnxeye.exe
2008-08-08 15:05 45,056 -ra------ C:\WINDOWS\system32\cmdrvrmu.dll
2008-08-08 15:05 315,392 -ra------ C:\WINDOWS\system\cmifltr.dll
2008-08-08 15:05 258,048 -r------- C:\WINDOWS\CmiUSB2Uninstall.exe
2008-08-08 15:05 253,952 -ra------ C:\WINDOWS\system32\cmdrvrmu.exe
2008-08-08 15:05 16,384 -ra------ C:\WINDOWS\system32\cmpropu.dll
2008-08-08 15:05 1,414,528 -ra------ C:\WINDOWS\system32\drivers\cmudaxu.sys
2008-08-08 15:05 <DIR> d-------- C:\Programme\USB Headset
2008-08-08 14:48 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-08-08 14:48 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-05 01:53 54,784 --a------ C:\WINDOWS\system32\msvci70.dll
2008-08-05 01:53 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-08-05 01:53 25,088 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-08-05 01:53 <DIR> d-------- C:\Programme\Stardock
2008-08-05 01:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock
2008-08-01 12:08 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll
2008-08-01 12:08 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll
2008-08-01 12:08 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-08-01 12:08 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll
2008-08-01 12:08 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-08-01 12:08 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-08-01 12:08 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-08-01 12:08 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-08-01 12:08 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-08-01 12:08 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-08-01 12:08 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll
2008-08-01 12:08 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-08-01 12:08 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll
2008-08-01 12:08 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-08-01 12:08 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll
2008-08-01 12:08 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-08-01 12:08 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-08-01 12:07 <DIR> d-------- C:\WINDOWS\Logs
2008-07-27 16:15 253,952 --a------ C:\WINDOWS\system32\tvmedia.dll
2008-07-24 23:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Trymedia
2008-07-22 15:25 <DIR> d-------- C:\DOKUME~1\WALDSC~1\ANWEND~1\My Games
2008-07-17 06:01 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lionhead Studios

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2008-08-15 09:34:48 -------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-15 03:38:25 -------- d-----w C:\Programme\DOSBox-0.72
2008-08-01 10:54:46 -------- d-----w C:\Programme\DAEMON Tools Lite
2008-08-01 10:50:02 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-08-01 10:08:40 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-23 15:54:28 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-20 11:12:18 -------- d-----w C:\Programme\CryptLoad_1.0.4
2008-07-09 14:13:17 -------- d-----w C:\Programme\WAMP
2008-07-08 20:28:47 44,646 ----a-w C:\WINDOWS\War3Unin.dat
2008-07-08 20:21:12 -------- d-----w C:\Programme\Ventrilo
2008-07-08 20:21:00 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-29 15:53:23 -------- d-----w C:\Programme\DivX
2008-06-22 22:14:15 -------- d-----w C:\Programme\Ashampoo
2008-06-18 00:23:14 -------- d-----w C:\Programme\Virtual Villagers
2008-06-18 00:22:37 -------- d-----w C:\Programme\bfgclient
2008-06-15 23:46:10 -------- d-----w C:\Programme\JavaSDK
2008-06-13 22:20:41 144,896 ----a-w C:\WINDOWS\kfnunins.exe
2008-05-30 23:22:58 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22:54 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22:54 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22:54 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22:54 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22:54 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-30 23:22:48 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22:48 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22:48 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22:46 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22:46 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-22 22:22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22:18 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:20:42 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20:42 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19:46 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19:46 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19:12 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18:54 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{00C6482D-C502-44C8-8409-FCE54AD9C208}=C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll [2007-05-16 11:39]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-07-07 09:41]
{661778F7-CDDA-4611-99B0-43245C7E971D}=C:\WINDOWS\system32\rqRLBUoP.dll [2008-08-15 05:56]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_06\bin\ssv.dll [2008-03-25 04:28]
{AF15420F-72F7-4262-BA4C-3F0B35670D1C}=C:\WINDOWS\system32\rqRJApon.dll [2008-08-15 06:02]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" []
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 16:27]
"nwiz"="nwiz.exe" [2007-12-05 01:41 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-12-05 01:41 C:\WINDOWS\system32\nvmctray.dll]
"CmUsbSound"="cmcnfgu.cpl" []
" Malwarebytes Anti-Malware (reboot)"="C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-07-30 20:07]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"FlashPlayerUpdate"=C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"combofix"=C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{661778F7-CDDA-4611-99B0-43245C7E971D}"="C:\WINDOWS\system32\rqRLBUoP.dll" [2008-08-15 05:56]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRLBUoP]
rqRLBUoP.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 C:\WINDOWS\system32\rqRJApon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\tdssserv.sys]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^WaldschratMX^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\WaldschratMX\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^WaldschratMX^Startmenü^Programme^Autostart^VirtuaGirl HD.LNK]
path=C:\Dokumente und Einstellungen\WaldschratMX\Startmenü\Programme\Autostart\VirtuaGirl HD.LNK
backup=C:\WINDOWS\pss\VirtuaGirl HD.LNKStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]
"C:\Programme\AdVantage\AdVantage.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
"C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
"C:\Programme\DAEMON Tools Pro\DTProAgent.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Packard Bell Software Suite]
C:\Programme\Packard Bell\Packard Bell Software Suite\Launcher.exe /run

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
SkyTel.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"C:\Programme\Save\Save.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
AutoRun\command- F:\ClickMe.exe

Contents of the 'Scheduled Tasks' folder
2008-08-08 15:15:50 C:\WINDOWS\tasks\1-Klick-Wartung.job

********************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-15 15:11:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

********************************************************************

Completion time: 2008-08-15 15:13:50 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2008-08-15 15:13

--- E O F ---

Ich starte jetzt nochmal den Malwarebytes im Quickscan und hoffe das beste.

Chris4You · 15.08.2008, 14:21

Hi,

gut dann warte ich noch etwas, wollte gerade Schluß für heute machen!

chris

Nichts geht mehr - Hauptproblem: gesperrte Internetadressen

Plagegeister aller Art und deren Bekämpfung: Nichts geht mehr - Hauptproblem: gesperrte Internetadressen