Hallo,
ich habe ein Problem mit einem Trojaner.
Seit einigen Tagen meldet mir AntiVir bei jedem Start, dass die Datei tmp1.tmp (oder tmp(fortlaufende Ziffer).tmp) der Trojaner TR/Drop.VB ist.
Auch meldet sich bei jedem Start meine Firewall und fragt ob explorer.exe auf das Internet zugreifen darf, was sonst beim Hochfahren nicht der Fall war. Verweigere ich dieses meldet sich wieder meine Firewall und fragt, ob das Programm Project1 auf das Internet zugreifen darf. Auch dies verweigere ich und es kommt die Meldung: Project1 hat ein Problem festgestellt und muss beendet werden. (Schließen)
Ich kann zwar bei einem Neustart die infizierten Dateien (tmp*.tmp) mit AntiVir löschen, sind dann aber beim erneuten hochfahren wieder vorhanden, bzw. eine Datei tmp*.tmp mit der nächsten Nummer.
Außerdem habe ich seit ein paar Tagen das Problem, dass sich beim Ansurfen einiger Websites ein Pop-Up mit Titel "Advertisement" öffnet (trotz Pop-Up-Blocker).
Habe schon ein LogFile von HijackThis erstellen lassen.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:57, on 26.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\A**s\LOKALE~1\Temp\978.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\DOKUME~1\A**s\LOKALE~1\Temp\467.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://email.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AutoTBar] "32\Wbem;C:\Programme\ATI Technologies\ATI Control PanelAUTOTBAR.EXE"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Service help] C:\RECYCLER\S-1-5-21-2390601271-5236302083-933877709-6821\winservices.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{864E8C88-A3DF-46B5-8165-FCE363CDC7F2}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{864E8C88-A3DF-46B5-8165-FCE363CDC7F2}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS2\Services\Tcpip\..\{864E8C88-A3DF-46B5-8165-FCE363CDC7F2}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.59,85.255.112.77
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7314 bytes


Kann mir da jemand helfen?

Halli hallo MünsterX

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Das sieht ziemlich übel aus. Wie hast du dir das eingefangen?

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Hallo,
danke erstmal für die schnelle Antwort und die guten Tipps.
Werde mich jetzt mal dranmachen diese umzusetzen.
Melde mich dann später.
Danke

So,
habe die schritte durchgeführt und hier die CCleaner-logfile.


ComboFix 09-01-21.04 - A**s 2009-01-26 20:03:29.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\A**s\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\resycled
c:\resycled\ntldr.com
c:\windows\system32\drivers\gaopdxevdlltew.sys
c:\windows\system32\drivers\gaopdxlfdgutew.sys
c:\windows\system32\drivers\gaopdxqpxwsiom.sys
c:\windows\system32\drivers\gaopdxwmrrfvkb.sys
c:\windows\system32\drivers\gaopdxyojnvnpp.sys
c:\windows\system32\gaopdxpixuwupt.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-12-26 bis 2009-01-26 ))))))))))))))))))))))))))))))
.

2009-01-26 19:46 . 2009-01-26 19:46 <DIR> d-------- c:\programme\CCleaner
2009-01-26 18:34 . 2009-01-26 19:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\VirtualFarm
2009-01-26 18:31 . 2009-01-26 18:31 <DIR> d-------- c:\programme\OXXOGames
2009-01-26 17:05 . 2009-01-26 17:05 <DIR> d-------- c:\programme\Trend Micro
2009-01-22 16:23 . 2009-01-22 16:23 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NevoSoft Games
2009-01-22 16:12 . 2009-01-22 16:12 <DIR> d-------- c:\programme\ReflexiveArcade
2009-01-21 15:30 . 2009-01-21 15:30 89 --a------ c:\windows\WSIMFARM.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-26 19:06 15,716,384 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-01-22 21:09 187,592 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-21 14:20 --------- d-----w c:\dokumente und einstellungen\A**s\Anwendungsdaten\Azureus
2009-01-19 23:27 1,994,752 ----a-w c:\windows\Internet Logs\xDB2C.tmp
2009-01-17 23:10 21,504 ----a-w c:\dokumente und einstellungen\A**s\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-01-16 22:00 86,528 ----a-w c:\windows\Internet Logs\xDB2A.tmp
2009-01-16 22:00 1,988,608 ----a-w c:\windows\Internet Logs\xDB2B.tmp
2009-01-14 15:39 119,808 ----a-w c:\windows\Internet Logs\xDB29.tmp
2009-01-08 22:41 232,448 ----a-w c:\windows\Internet Logs\xDB27.tmp
2009-01-08 22:41 1,968,128 ----a-w c:\windows\Internet Logs\xDB28.tmp
2008-12-19 00:52 85,504 ----a-w c:\windows\Internet Logs\xDB25.tmp
2008-12-19 00:52 1,920,000 ----a-w c:\windows\Internet Logs\xDB26.tmp
2008-12-15 22:35 156,672 ----a-w c:\windows\Internet Logs\xDB24.tmp
2008-12-15 20:55 --------- d-----w c:\programme\DivX
2008-12-15 09:27 10,856 --sha-w c:\windows\system32\KGyGaAvL.sys
2008-12-07 01:03 27,648 ----a-w c:\windows\Internet Logs\xDB22.tmp
2008-12-07 01:03 1,894,912 ----a-w c:\windows\Internet Logs\xDB23.tmp
2008-12-06 20:15 155,136 ----a-w c:\windows\Internet Logs\xDB20.tmp
2008-12-06 20:15 1,894,400 ----a-w c:\windows\Internet Logs\xDB21.tmp
2008-11-28 14:48 235,520 -c--a-w c:\windows\Internet Logs\xDB1E.tmp
2008-11-28 14:48 1,867,264 -c--a-w c:\windows\Internet Logs\xDB1F.tmp
2008-11-27 19:14 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-27 13:44 --------- d-----w c:\programme\mresreg
2008-11-21 21:47 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-21 21:47 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-21 21:47 129,784 ------w c:\windows\system32\pxafs.dll
2008-11-21 21:47 120,056 ------w c:\windows\system32\pxcpyi64.exe
2008-11-21 21:47 118,520 ------w c:\windows\system32\pxinsi64.exe
2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-21 21:44 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-11-21 21:44 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-11-19 13:25 167,424 -c--a-w c:\windows\Internet Logs\xDB1D.tmp
2008-11-18 22:59 2,634,925 -c--a-w c:\windows\Internet Logs\tvDebug.zip
2008-11-12 00:03 48,640 -c--a-w c:\windows\Internet Logs\xDB1B.tmp
2008-11-12 00:03 1,774,592 -c--a-w c:\windows\Internet Logs\xDB1C.tmp
2008-11-11 13:29 1,776,640 -c--a-w c:\windows\Internet Logs\xDB1A.tmp
2008-11-10 10:13 190,976 -c--a-w c:\windows\Internet Logs\xDB19.tmp
2008-10-30 22:28 76,288 -c--a-w c:\windows\Internet Logs\xDB17.tmp
2008-10-30 22:28 1,744,896 -c--a-w c:\windows\Internet Logs\xDB18.tmp
2008-10-28 21:45 128,512 -c--a-w c:\windows\Internet Logs\xDB15.tmp
2008-10-28 21:45 1,736,704 -c--a-w c:\windows\Internet Logs\xDB16.tmp
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Windows Service help"="c:\recycler\S-1-5-21-2390601271-5236302083-933877709-6821\winservices.exe" [2009-01-21 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2004-11-05 233534]
"WatchDog"="c:\programme\InterVideo\DVD Check\DVDCheck.exe" [2004-12-08 184320]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0\bin\jusched.exe" [2008-07-07 36972]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2004-12-08 790528]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\
AutoTBar.exe [2003-09-30 57344]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
DVD Check.lnk - c:\programme\InterVideo\DVD Check\DVDCheck.exe [2008-07-07 184320]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ZMBV"= zmbv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Spiele\\Anno 1701\\Anno1701.exe"=
"c:\\Spiele\\Anno 1701\\Anno1701AddOn.exe"=

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [2008-07-07 192896]
R4 NwSapAgent;SAP-Agent;c:\windows\system32\svchost.exe -k netsvcs [2004-08-04 14336]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78decf0f-4c40-11dd-a5ba-806d6172696f}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\ntldr.com c:
\Shell\Open\command - c:\resycled\ntldr.com c:
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-AutoTBar - 32\Wbem;c:\programme\ATI Technologies\ATI Control PanelAUTOTBAR.EXE


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://email.t-online.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-26 20:06:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????8?9?6?7??????? ?,?B?????????????hLC????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-01-26 20:07:25
ComboFix-quarantined-files.txt 2009-01-26 19:07:23

Vor Suchlauf: 14 Verzeichnis(se), 35,063,189,504 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 35,046,191,104 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

155



aber ich denke, das war noch nicht alles oder?

hm...mein antivir kann kein update durchführen...

"es konnte keine verbindung zum internet hergestellt werden"

warum auch immer???

Zitat:

Das sieht ziemlich übel aus. Wie hast du dir das eingefangen?

Nun kann ich mir meine Frage selber beantworten: Du hast dir einen keygen oder crack aus dem Netz gesogen und bei dir ausgeführt. Blöde Idee.

Zitat:

mein antivir kann kein update durchführen...
warum auch immer???

Weil du unter garantie eine Hintertür im System hast.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

hallo undoreal,

jo das mit dem crack könnte stimmen.

vielen dank erstmal für deine mühen! also antivir lässt sich inzwischen wieder updaten und die log des mbr rootkit detectors hat folgendes ausgegeben:


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

wenn ich deine ausführungen richtig verstanden habe, ist das schonmal gut...???

sollte ich trotzdem mein system neu installieren?

danke danke und mfg

Der MBR ist sauber. Damit kannst du ohne größere Probleme neuaufsetzen. Das solltest du dringend tun!